Wazuh: ручная регистрация агента — пошаговый гайд для сложных сетей

Автоматическая регистрация агента через веб-интерфейс Wazuh — это удобно. Но не тогда, когда за спиной NAT, VLAN, split-horizon DNS или корпоративные файерволы с загадочными правилами. В таких сценариях manage_agents остаётся единственным надёжным инструментом. Рассказываю, как вручную зарегистрировать агента, получить ключ, импортировать его и победить типичные ошибки подключения.

Ручная регистрация Wazuh-агента: пошаговое руководство

Зачем всё это, если есть автоматическая регистрация?

Wazuh из коробки предлагает удобный механизм автоматической регистрации (enrollment) через веб-интерфейс или API: указал IP агента, получил команду — и готово. Но на практике он спотыкается там, где начинаются:

• NAT и трансляция адресов — сервер видит агента с одним IP, агент себя — с другим.

• Маршрутизация через jump-хосты — трафик идёт не напрямую.

• Изолированные VLAN — broadcast-запросы не проходят.

• Временные или плавающие IP — агент меняет адрес.

• Жёсткие политики безопасности — запрещены исходящие вызовы API или веб-интерфейс не доступен.

В таких условиях manage_agents — не запасной план, а основной.

🔥 Ключевая идея: при ручной регистрации сервер вообще не пытается «достучаться» до агента. Агент сам тянется к серверу с ключом. Это обращается почти все сетевые ограничения.

📋 Предварительные требования

• ✅ Wazuh-сервер установлен и работает.

• ✅ Wazuh-агент установлен на целевом хосте.

• ✅ Сетевая связность от агента к серверу (порт 1514 и 1515).

• ✅ Права sudo на обоих хостах.

🔌 Шаг 1: Проверка сетевой связности

На агенте

bash

ping 10.10.10.10nc -zv 10.10.10.10 1514   # основной портnc -zv 10.10.10.10 1515   # порт enrollment

На сервере Wazuh (опционально)

bash

ping 172.10.10.10

Если пинг есть, а порт 1514/1515 недоступен — с вероятностью 99% виноват файервол на сервере:

bash

sudo ufw statussudo firewall-cmd --list-all

Пример открытия портов:

bash

sudo ufw allow 1514/tcpsudo ufw allow 1515/tcp

📝 Шаг 2: Определяем, каким IP сервер видит агента

Особенно важно при NAT.

На агенте

bash

ip acurl -s ifconfig.io   # внешний IP, если есть NAT

На сервере (смотрим логи подключений)

bash

sudo tail -f /var/ossec/logs/ossec.log | grep "connection from"

Вы увидите реальный источник трафика. Именно этот IP (или any) нужно будет указать при регистрации.

➕ Шаг 3: Добавление агента на сервере

Подключаемся к серверу Wazuh.

Вариант А — с конкретным IP (прямая маршрутизация)

bash

sudo /var/ossec/bin/manage_agents -a 172.10.10.10 -n ton-prxmx-01

Вариант Б — с any (рекомендуется для NAT, DHCP, динамических адресов)

bash

sudo /var/ossec/bin/manage_agents -a any -n ton-prxmx-01

Вариант В — интерактивный режим (полный контроль)

bash

sudo /var/ossec/bin/manage_agents

Меню:

• A — добавить агента

• Имя: ton-prxmx-01

• IP: 172.10.10.10 или any

• ID: оставить пустым

• Y — подтвердить

🔑 Шаг 4: Получение ключа агента

Смотрим список агентов

bash

sudo /var/ossec/bin/manage_agents -l

Вывод:

text

Available agents:   ID: 021, Name: ton-prxmx-01, IP: 172.10.10.10

Извлекаем ключ

bash

sudo /var/ossec/bin/manage_agents -e 021

На экран будет выведена длинная строка — скопируйте её полностью.

text

MDAxIHNydmstcHJ4bXgtMDEgMTcyLjIxLjQ0LjE4MSBxxxx...

⚠️ Ключ — это по сути пароль. Никому не показывайте, храните в защищённом месте.

💾 Шаг 5: Импорт ключа на агенте

Переходим на целевой хост.

Основной способ

bash

sudo /var/ossec/bin/manage_agents -i <скопированный_ключ>

Система попросит подтверждение:

text

Confirm adding it? (y/n): yAdded.

Альтернативный способ (прямая запись в файл)

Если manage_agents по какой-то причине не работает:

bash

echo "MDAxIHNydmstcHJ4bXgtMDEgMTcyLjIxLjQ0LjE4MSBxxxx..." | sudo tee /var/ossec/etc/client.keys

🔄 Шаг 6: Перезапуск агента и проверка

На агенте

bash

sudo systemctl restart wazuh-agentsudo systemctl status wazuh-agentsudo tail -f /var/ossec/logs/ossec.log

Успешное подключение выглядит так:

text

INFO: Connected to enrollment service at 10.10.10.10:1515INFO: Received response with agent keyINFO: Valid key received. Connecting to manager...INFO: Connected to the server (10.10.10.10:1514/tcp).INFO: (4102): Connected to the server.

На сервере

bash

sudo /var/ossec/bin/agent_control -lsudo /var/ossec/bin/agent_control -i 021

Агент должен быть в статусе Active.

🐛 Устранение типичных проблем (таблица для быстрого поиска)

🎯 Шаг 7: Финальная проверка в веб-интерфейсе

1. Открываем Wazuh Dashboard

2. Переходим в Agents → Agents

3. Ищем ton-prxmx-01

4. Статус — зелёный Active

Через 2–3 минуты появятся первые события: логи, auditd, системные вызовы.

📌 Полезные команды для жизни

bash

# Сервер: удалить агентаsudo /var/ossec/bin/manage_agents -r 021# Сервер: перезапустить менеджерsudo systemctl restart wazuh-manager# Агент: перезапускsudo systemctl restart wazuh-agent# Агент: посмотреть, куда стучитсяcat /var/ossec/etc/ossec.conf | grep -A 5 "<client>"# Агент: версия/var/ossec/bin/wazuh-agentd -V

🏁 Заключение

Ручная регистрация — не «костыль», а полноценный метод управления агентами в сложных средах.

✔️ Работает через NAT
✔️ Не требует открытых портов на агенте
✔️ Позволяет точно локализовать проблему на каждом шаге

После подключения агент начнёт отдавать:

• системные логи

• события безопасности

• контроль целостности (FIM)

• данные об уязвимостях

• метрики производительности

Всё это — в едином веб-интерфейсе Wazuh, готовое к корреляции и реагированию.

​