Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:wazuh [2024/04/17 07:51] – root
+++ linux:wazuh [2026/06/25 13:30] (Version actuelle) – root
@@ Ligne 1: / Ligne 1: @@
 ====== Installation de wazuh ======
 ===== installation server =====
+==== Install ====
   - ouvrir le terminal
   - entrer <code bash>curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a</code>
@@ Ligne 6: / Ligne 7: @@
 le logiciel va automatiquement installer indexer, server et dashboard
 Le mot de passe administrateur sera donner a la fin de l'isntallation, `n'oubliez pas de le noter`
+==== Configuration email ====
+  - Modifier le fichier /var/ossec/etc/ossec.conf <code xml><ossec_config>
+  <global>
+    <email_notification>yes</email_notification>
+    <smtp_server>localhost</smtp_server>
+    <email_from>wazuh@votredomaine.com</email_from>
+    <email_to>destinataire@votredomaine.com</email_to>
+    <email_maxperhour>12</email_maxperhour>
+  </global>
+</ossec_config></code>
+  - Modifier le seuil d'alertes dans le même fichier <code xml><ossec_config>
+  <alerts>
+    <email_alert_level>10</email_alert_level>
+  </alerts>
+</ossec_config></code>
+===== Usage =====
+==== Vue Theats ====
+Voici des champs intéressants à activer:
+data.win.eventdata.targetUserName, data.win.eventdata.subStatus, data.win.system.systemTime.
+Windows: type d'échec (0xC0000064 = user inconnu, 0xC000006A = mauvais mot de passe).
 ===== installation agent =====
@@ Ligne 20: / Ligne 47: @@
 ==== agent linux ====
-###### 1.installation
-. ouvrir le terminal
+  - <code bash>wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb && sudo WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' dpkg -i ./wazuh-agent_4.7.3-1_amd64.deb_</code>
-. installer avec
+  - demarrer l'agent avec: <code bash>sudo systemctl daemon-reload
-```sh
-_wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb && sudo WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' dpkg -i ./wazuh-agent_4.7.3-1_amd64.deb_
-```
-. demarrer l'agent avec
-```sh
-_sudo systemctl daemon-reload
 sudo systemctl enable wazuh-agent
-sudo systemctl start wazuh-agent_
+sudo systemctl start wazuh-agent</code>
-```
-pour plus d'information et d'option d'installation, suivez la documentation sur le site officielle:
-https://documentation.wazuh.com/current/index.html
 ==== Certificat SSL pour le dashboard ====
 Pour ajouter un certificat ssl
   - Copier les fichiers (clé, certificat, certificat CA) dans /etc/wazuh-dashboard/certs
-  - Editer le fichier de configuration <code bash>nano /etc/wazuh-dashboard/opensearch_dashboards.yml</code> Et rajouter ceci: <file - opensearch_dashboards.yml>server.ssl.enabled: true
+  - Modifier les droits <code bash>chmod 500 /etc/wazuh-dashboard/certs
+chmod 400 /etc/wazuh-dashboard/certs/*
+chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs</code>
+  - Editer le fichier de configuration <code bash>nano /etc/wazuh-dashboard/opensearch_dashboards.yml</code> Et rajouter ceci: <file - opensearch_dashboards.yml>opensearch.ssl.verificationMode: none
+server.ssl.enabled: true
 server.ssl.key: "/etc/wazuh-dashboard/certs/srv-sec1.company.lan.pem"
 server.ssl.certificate: "/etc/wazuh-dashboard/certs/srv-sec1.company.lan.crt"
 opensearch.ssl.certificateAuthorities: ["/etc/wazuh-dashboard/certs/company-ca.crt"]</file>