Wazuh
هي منصة مفتوحة المصدر لإدارة الأمن (SIEM) ومراقبة نقاط النهاية (Endpoint Security)
تقوم بجمع وتحليل السجلات، فحص تكامل الملفات، كشف الاختراقات، والعديد من ميزات الحماية
أول استخدام — التحقق من أن النظام شغال
: تحقق من حالة الخدمات
/var/ossec/bin/wazuh-control status
: بدء/إيقاف النظام
/var/ossec/bin/wazuh-control start # تشغيل
/var/ossec/bin/wazuh-control stop # إيقاف
/var/ossec/bin/wazuh-control restart # إعادة تشغيل
ملفات مهمة في Wazuh:
المسار الوظيفة
/var/ossec/etc/ossec.conf ملف الإعداد الرئيسي
/var/ossec/logs/ossec.log لوج الأحداث
/var/ossec/queue/alerts/alerts.json تنبيهات قابلة للتحليل (JSON)
/var/ossec/bin/ أدوات Wazuh (مثل wazuh-control, manage_agents, وغيرها)
: خطوات التثبيت والتهيئة
🔗 https://documentation.wazuh.com/current/installation-
guide/index.html
Agentإضافة (جهاز عميل
1. على جهاز الـ Server
ابدأ بخدمة Wazuh وفعّل خدمة authd:
/var/ossec/bin/wazuh-control start
/var/ossec/bin/wazuh-authd -p 1515
2. على جهاز الـ Agent (العميل):
ثبت Wazuh agent هناك
اربطه بالسيرفر بهالأمر
var/ossec/bin/agent-auth -m <IP السيرفر> -p 1515
مراقبة السجلات:
افتح لوق التنبيهات:
tail -f /var/ossec/logs/ossec.log
أو لوق التنبيهات بصيغة JSON:
tail -f /var/ossec/logs/alerts/alerts.json
Wazuh امثلة لميزات
الميزة الأمر
فحص تكامل الملفات (FIM) مراقبة التعديلات في الملفات الحساسة
كشف التسللات (IDS) تحليل سجلات النظام والبرمجيات
فحص الثغرات (Vuln detection) يقرأ الحزم ويبلغ عن ثغرات معروفة
تحليل السجلات (Log analysis) يدعم ملفات syslog، ssh، apache…