Administración
En la siguiente guía se detallan algunas herramientas de administración, configuración y mantenimiento de Wazuh.
Información útil sobre las distintas capacidades de Wazuh y sobre como configurarlas: User Manual - Capabilities.
Agrupación de agentes y configuración centralizada
La configuración utilizada por los agentes se encuentra en /var/ossec/etc/ossec.conf. En este archivo se pueden habilitar o deshabilitar las diferentes capacidades de Wazuh y ajustar la configuración para que se ajuste a sus necesidades. En /var/ossec/etc/shared/agent.conf se encuentra un archivo de configuración empujado al agente desde el manager (configuración centralizada), estas configuraciones toman prioridad.
Agent Groups permite definir grupos de configuración (como todos los agentes en apache-servers por ejemplo), editar la configuración en un solo archivo y asignar agentes a esos grupos. Todos los agentes pertenecientes a un mismo grupo aplicarán la configuración definida en ese grupo.
Existe la posibilidad de agregar agentes a varios grupos al mismo tiempo, creando un multigroup. Esto permite aplicar a los agentes la configuración definida en varios grupos a la vez (las configuraciones son mergeadas).
Para crear los grupos, se puede usar la terminal (accediendo al Wazuh server) o la interfaz de la aplicación en Kibana. Ambos darán el mismo resultado.
Creando los grupos
Para crear un grupo, ir a la aplicación Wazuh en Kibana y seguir estos pasos: Management > Groups. Esta página permite listar, crear, editar y eliminar grupos. Para crear un grupo, haga clic en Add new group.
Los grupos se enumerarán en la página Grupos, junto con la cantidad de agentes en cada grupo, el checksum de la configuración y algunos botones de acción:
Agregar/eliminarAgregar agentes de Wazuh a grupos
Una vez que haya creado un grupo, se pueden asignar agentes a ese grupo. Para hacer esto, se debe hacer clic en el grupo que se acaba de crear y hacer clic en Manage agents.
Este botón llevará a una página donde puede agregar o eliminar fácilmente agentes de un grupo.
Una vez agregado los agentes al grupo y aplicado los cambios, los agentes se agregarán a ese grupo y al grupo en donde estaban previamente. Por lo tanto, si se desea eliminar estos agentes del grupo anterior, se puede hacer clic en el grupo anterior, hacer clic en Manage agents y sacando los agentes de su lista agentes actualmente en el grupo.
Modificar el archivo de configuración
Cada grupo tiene un nombre de archivo de configuración como /var/ossec/etc/shared/agent.conf. Este archivo está vacío por defecto y aquí puede definir nuevos archivos de configuración o sobrescribir los definidos en ossec.conf. Una forma de modificar este archivo es navegando a Management > Groups > [Action] Edit group configuration. En esta página, se puede modificar el archivo y guardar los cambios.
Después de guardar los cambios, el Wazuh server aplicará la configuración a los agentes enviando este archivo (generando un archivo de configuración combinada si el agente pertenece a varios grupos) y reiniciando los agentes.