Wazuh Agent Docker 镜像文档

镜像概述和主要用途

Wazuh Agent Docker镜像提供了一个轻量级、可移植的Wazuh代理部署方案。Wazuh是一个开源安全监控平台，结合了入侵检测、日志分析、漏洞检测和合规性监控等功能。

该镜像主要用于：

• 在容器化环境中部署Wazuh代理
• 为Docker主机和容器提供安全监控能力
• 与Wazuh服务器集成，实现集中式安全管理
• 简化Wazuh代理的部署和配置流程

核心功能和特性

• 轻量级设计：基于精简的基础镜像，最小化资源占用
• 自动配置：支持通过环境变量进行快速配置
• 持久化存储：关键配置和状态数据支持持久化
• 多架构支持：兼容多种硬件架构
• 安全加固：遵循Docker最佳安全实践
• 日志优化：优化日志收集和处理机制
• 健康检查：内置健康检查功能，确保服务可用性
• 无缝集成：与Wazuh生态系统完美集成

使用场景和适用范围

推荐使用场景

• Docker主机安全监控
• Kubernetes集群节点监控
• 容器化应用安全日志收集
• 云环境和微服务架构的安全监控
• DevSecOps流程集成
• 多环境一致性安全监控部署

适用范围

• 中小企业安全监控部署
• 大型企业分布式环境监控
• DevOps和云原生环境
• 混合云和多云环境
• 需快速扩展的监控基础设施

详细的使用方法和配置说明

前提条件

• Docker Engine 19.03+
• 可访问的Wazuh服务器
• 网络连通性：确保代理能够连接到Wazuh服务器(默认端口1514/udp)

获取镜像

# 从仓库拉取镜像
docker pull progressoft/sudo/wazuh-agent:latest

# 或从源码构建
git clone [***]
cd wazuh/cicd/docker
docker build -f agent.dockerfile -t progressoft/sudo/wazuh-agent:latest .

基本使用方法

使用docker run部署

docker run -d \
  --name wazuh-agent \
  --restart=always \
  --network=host \
  -e WAZUH_MANAGER="wazuh-manager.example.com" \
  -e WAZUH_AGENT_NAME="docker-agent-01" \
  -e WAZUH_REGISTRATION_SERVER="wazuh-manager.example.com" \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  -v /var/log:/var/log:ro \
  progressoft/sudo/wazuh-agent:latest

使用docker-compose部署

创建docker-compose.yml文件：

version: '3.8'

services:
  wazuh-agent:
    image: progressoft/sudo/wazuh-agent:latest
    container_name: wazuh-agent
    restart: always
    network_mode: host
    environment:
      - WAZUH_MANAGER=wazuh-manager.example.com
      - WAZUH_AGENT_NAME=docker-agent-01
      - WAZUH_REGISTRATION_SERVER=wazuh-manager.example.com
      - WAZUH_REGISTRATION_PORT=1515
      - WAZUH_AGENT_GROUP=default
      - WAZUH_AGENT_TIMEZONE=UTC
    volumes:
      - wazuh-agent-config:/var/ossec/etc
      - wazuh-agent-logs:/var/ossec/logs
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /var/log:/var/log:ro
      - /var/lib/docker/containers:/var/lib/docker/containers:ro
    privileged: true

volumes:
  wazuh-agent-config:
  wazuh-agent-logs:

启动服务：

docker-compose up -d

配置参数说明

环境变量配置

卷挂载说明

高级配置

自定义配置文件

如需使用自定义配置文件，可通过卷挂载方式替换默认配置：

docker run -d \
  --name wazuh-agent \
  --restart=always \
  --network=host \
  -v /path/to/custom/ossec.conf:/var/ossec/etc/ossec.conf \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  -v /var/log:/var/log:ro \
  progressoft/sudo/wazuh-agent:latest

与Wazuh服务器的TLS加密通信

启用TLS加密通信：

docker run -d \
  --name wazuh-agent \
  --restart=always \
  --network=host \
  -e WAZUH_MANAGER="wazuh-manager.example.com" \
  -e WAZUH_AGENT_NAME="docker-agent-01" \
  -e WAZUH_AGENT_PROTOCOL="tcp" \
  -v /path/to/ssl/keys:/var/ossec/etc/ssl \
  -v /var/run/docker.sock:/var/run/docker.sock:ro \
  -v /var/log:/var/log:ro \
  progressoft/sudo/wazuh-agent:latest

健康检查

镜像内置健康检查功能，可通过Docker的健康检查机制监控代理状态：

# 查看健康状态
docker inspect --format='{{.State.Health.Status}}' wazuh-agent

故障排除

查看代理状态

# 进入容器
docker exec -it wazuh-agent /bin/bash

# 查看代理状态
/var/ossec/bin/wazuh-control status

查看日志

# 查看容器日志
docker logs wazuh-agent

# 或进入容器查看详细日志
docker exec -it wazuh-agent tail -f /var/ossec/logs/ossec.log

常见问题解决

1. 无法连接到Wazuh服务器

   • 检查网络连接和防火墙设置
   • 验证WAZUH_MANAGER环境变量配置
   • 确认Wazuh服务器是否正常运行

2. 注册失败

   • 检查注册服务器地址和端口配置
   • 验证注册密码是否正确
   • 确认Wazuh服务器是否启用了自动注册

3. 日志收集不完整

   • 检查卷挂载配置是否正确
   • 验证文件权限
   • 查看代理日志了解具体错误

维护和更新

更新镜像

# 拉取最新镜像
docker pull progressoft/sudo/wazuh-agent:latest

# 停止并删除现有容器
docker stop wazuh-agent
docker rm wazuh-agent

# 使用新镜像启动容器（使用之前的运行命令）
docker run ... progressoft/sudo/wazuh-agent:latest

备份配置

# 创建配置备份
docker exec wazuh-agent tar -czf /tmp/wazuh-agent-config-backup.tar.gz -C /var/ossec/etc .

# 复制到主机
docker cp wazuh-agent:/tmp/wazuh-agent-config-backup.tar.gz ./

安全注意事项

• 仅在受信任环境中部署Wazuh代理
• 限制容器的权限，仅授予必要的capabilities
• 定期更新镜像以获取安全补丁
• 保护敏感配置信息，避免在命令行中暴露密码
• 使用只读文件系统和临时文件系统减少攻击面
• 监控Wazuh代理自身的日志和状态

结论

Wazuh Agent Docker镜像提供了一种简单、灵活的方式来部署Wazuh代理，特别适合容器化环境和云原生架构。通过环境变量配置和卷挂载，可以轻松定制代理以满足特定需求，同时确保与Wazuh服务器的无缝集成，实现全面的安全监控能力。