SIEM/Log Management Tự động hóa cài đặt Wazuh Agent cho Cluster (Failover) trên Ubuntu

L

Lê Gia Hoàng Thiện

Intern

Nếu bạn đang vận hành hệ thống giám sát an ninh với Wazuh, chắc hẳn bạn đã biết đến mô hình Cluster (nhiều node Manager hoạt động cùng lúc để chịu tải và dự phòng).

Tuy nhiên, việc cài đặt Agent thủ công và trỏ về Cluster thường gặp một vấn đề khó chịu:
  1. Mặc định Wazuh Agent chỉ nhận 1 địa chỉ Manager IP.
  2. Để kích hoạt tính năng Failover (tự động chuyển node khi Master chết), bạn phải sửa file XML ossec.conf thủ công để thêm nhiều block <server>.
Bài viết này sẽ chia sẻ một Bash Script giúp bạn tự động hóa hoàn toàn quy trình này trên Ubuntu/Debian. Script sẽ tự động cài đặt Agent, đăng ký key, và quan trọng nhất: Tự động cấu hình danh sách IP Cluster để Agent không bao giờ mất kết nối.

Giải thích cơ chế hoạt động​

  1. Dọn dẹp: Sử dụng sed để xóa sạch cấu hình server mặc định (vốn chỉ hỗ trợ 1 IP).
  2. Vòng lặp (Loop): Script chạy qua danh sách các IP bạn nhập vào (172.0.0.3, 172.0.0.4...), với mỗi IP, nó tạo ra một đoạn mã XML chuẩn của Wazuh.
  3. Chèn (Injection): Sử dụng perl (mạnh hơn sed trong việc xử lý chuỗi nhiều dòng) để chèn toàn bộ khối XML mới vào ngay sau thẻ mở <client>.

Hướng dẫn sử dụng​

Bước 1: Tạo tải script trên máy Ubuntu cần cài Agent và giải nén file ra:
Bước 2: Cấp quyền thực thi:
chmod +x install.sh
Nhấn để mở rộng...
Bước 3: Chạy script với quyền Root:
sudo ./install.sh
Nhấn để mở rộng...
Bước 4: Nhập danh sách IP Cluster của bạn (ngăn cách ip bằng dấu cách hoặc dấu phẩy):
Bước 5: Đợi cài đặt và xem kết quả trả về

Một số lưu ý về Failover (Chuyển đổi dự phòng)​

Mặc định, Wazuh Agent sẽ mất khoảng 60-90 giây để chuyển sang node mới nếu node hiện tại bị chết (do tham số time-reconnect mặc định là 60s).
 

Đính kèm

  • 1764749221406.png
    1764749221406.png
    47.5 KB · Lượt xem: 0
  • 1764749221383.png
    1764749221383.png
    11.8 KB · Lượt xem: 0
  • install_wazuhagent_cluster.zip
    install_wazuhagent_cluster.zip
    1.8 KB · Lượt xem: 0
Bài viết liên quan
Triển khai wazuh agent windowns dạng failover bởi Lê Gia Hoàng Thiện,
Triển khai và cấu hình Wazuh cluster cho hệ thống SIEM ( Wazuh + Vector + Opensearch ) bởi ThuanLeHiep,
Triển khai hệ thống SIEM theo mô hình All-in-One ( Opensearch + Vector + Wazuh) bởi Nguyễn Kim Khánh,
[Phần 4] Triển khai Pipeline Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 3] Triển khai Manager Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 2] Triển khai Dashboard Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Bài viết mới
Triển khai wazuh agent windowns dạng failover bởi Lê Gia Hoàng Thiện,
Triển khai và cấu hình Wazuh cluster cho hệ thống SIEM ( Wazuh + Vector + Opensearch ) bởi ThuanLeHiep,
Triển khai hệ thống SIEM theo mô hình All-in-One ( Opensearch + Vector + Wazuh) bởi Nguyễn Kim Khánh,
[Phần 4] Triển khai Pipeline Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 3] Triển khai Manager Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 2] Triển khai Dashboard Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top