![]()
힘들게.. 힘들게.. Wauzh Agent/Server 그리고 ElasticSearch를 연동하였다. 그리고 SSH 접속, Sudo 등의 몇가지 테스트한 결과 아래의 이벤트를 얻을 수 있었다. 이전 게시물을 통해 어떤 방식으로 Wazuh Agent와 Wazuh Server가 구성되는지 알아보았다. [Wazuh] Wazuh란? 구성 및 개념도[1/2] :: 하다 보면 늘어나는 업무 지식 (tistory.com) [Wazuh] Wazuh란? 구성 및 개념도[1/2] Wazuh란? Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다. 즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다. 로그 데이터 dobby-isfree.tist..
![]()
1편을 이어서, 이번에는 Wazuh와 ElasticSearch 간의 데이터 연동을 알아보자! 앞편에서 설명했듯이, Wazuh는 기본적으로 Elasticsearch + Kibana와 연동을 기본으로 한다. 2. Wazuh Server ↔ Elastic Server(정확히는 ElasticSearch와 연동) 결론부터 말하면, Wazuh Server에 설치되어 있는 Filebeat를 통해 Elastic Server로 데이터를 전달한다. 위 그림과 같이 Wazuh Server에서 Filebeat가 실행되고 있음을 알 수 있다. /etc/filebeat/filebeat.yml 파일을 참조하여 시행되며, 해당 파일에는 Filebeat로 전달할 데이터와 ES 정보가 담겨있다. 위 설정을 보면 알 수 있듯이, File..
![]()
지금 현재 Wazuh 에이전트 테스트를 하기 위해서 AWS에 t2.micro Instance를 생성해서 진행중이다. Wazuh 가이드에는 t2.large 이상을 권고하고 있는데, large는 서비스 요금이 비싸니까.. 필자는 t2.micro로 테스트 중이다. - 사실 뭐 테스트 서버가 많은것도 아니고, 로그가 많을거 같지도 않아서 저렴한 Instance를 사용한다ㅋㅋ 가이드에서 ElasticSearch를 설치하고, 실행하는 과정이 있는데 실행이 안되는 문제가 발생했다!! systemctl status로 Elasticsearch 상태를 보니 Memory Commit 에러가 발생한 다음에 구동에 실패했다. 그리고 free -h로 보니, 사용 가능한 Memory가 400MB밖에 안된다.. Swap Memory..
