wazuh/wazuh-agent

Wazuh agent Docker镜像文档

镜像概述和主要用途

Wazuh agent Docker镜像是Wazuh安全监控平台客户端组件（Wazuh agent）的容器化部署形式。Wazuh agent是轻量级客户端程序，与Wazuh manager（服务端）配合工作，主要用于在容器环境中采集主机系统数据（包括系统日志、应用日志、配置文件、进程信息、漏洞扫描结果等），并加密发送至Wazuh manager进行集中分析、检测与响应，实现对主机的全面安全监控。

核心功能和特性

• 全面数据采集：支持采集系统日志（/var/log/*）、应用日志（如Apache、MySQL）、系统配置文件、进程与服务状态、硬件信息、漏洞扫描数据（与漏洞数据库同步）等。
• 安全数据传输：通过TCP/UDP协议加密（支持SSL/TLS）将采集数据发送至Wazuh manager，确保数据传输安全性。
• 轻量级设计：资源占用低（内存<100MB，CPU占用率低），适合在资源受限环境部署。
• 容器化部署：支持Docker/Kubernetes等容器编排平台，简化部署与扩展流程。
• 自动注册：可通过环境变量配置自动向Wazuh manager注册，无需手动配置agent密钥。
• 跨平台兼容：支持主流Linux发行版（Ubuntu、CentOS、Debian等）的容器环境。

使用场景和适用范围

• 容器化主机监控：在Docker/Kubernetes环境中部署，监控容器所在主机的系统安全状态。
• 混合云环境监控：在私有云、公有云（AWS、Azure、GCP）等混合环境中，通过统一的容器化agent实现跨环境安全数据采集。
• DevSecOps集成：嵌入CI/CD流程，在应用部署的同时部署agent，实现对应用主机的实时安全监控。
• 快速规模化部署：需要在大量主机上快速部署agent的场景（如企业级服务器集群）。
• 临时环境监控：在测试、临时部署的环境中，通过容器化agent实现短期安全监控，避免主机级安装残留。

使用方法和配置说明

前提条件

• 已部署Wazuh manager（版本需与agent版本兼容，推荐使用相同主版本号，如agent 4.5.x对应manager 4.5.x）。
• 已知Wazuh manager的IP地址或域名，以及开放的通信端口（默认注册端口1515，通信端口1514）。
• 若manager配置了注册密码，需获取注册密码（在manager的/var/ossec/etc/authd.pass文件中）。

Docker run部署示例

bash
docker run -d \
  --name wazuh-agent \
  --network host \  # 推荐使用host网络以确保agent能访问主机系统资源（如/var/log）
  -e WAZUH_MANAGER=192.168.1.100 \  # 替换为Wazuh manager的IP或域名
  -e WAZUH_AGENT_NAME=web-server-01 \  # 自定义agent名称（可选，默认使用容器ID）
  -e WAZUH_REGISTRATION_PASSWORD=your-registration-password \  # 若manager启用注册密码，替换为实际密码
  -v /var/log:/var/log:ro \  # 挂载主机日志目录（只读），确保agent能采集主机日志
  -v /etc:/etc:ro \  # 挂载主机/etc目录（只读），用于采集配置文件信息
  -v /var/run/docker.sock:/var/run/docker.sock:ro \  # 可选，若需监控Docker容器日志
  wazuh/wazuh-agent:4.5.0  # 替换为最新稳定版标签（如4.7.0）

Docker Compose部署示例

创建docker-compose.yml文件：

yaml
version: '3'

services:
  wazuh-agent:
    image: wazuh/wazuh-agent:4.5.0  # 替换为最新版本
    container_name: wazuh-agent
    network_mode: host  # 或使用自定义网络，需确保与manager通信
    environment:
      - WAZUH_MANAGER=192.168.1.100  # Wazuh manager地址
      - WAZUH_AGENT_NAME=app-server-01  # agent名称
      - WAZUH_REGISTRATION_PORT=1515  # 注册端口（默认1515）
      - WAZUH_PORT=1514  # 通信端口（默认1514）
      - WAZUH_PROTOCOL=tcp  # 通信协议（tcp/udp，默认tcp）
      - WAZUH_REGISTRATION_PASSWORD=your-registration-password  # 注册密码（若有）
    volumes:
      - /var/log:/var/log:ro
      - /etc:/etc:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro  # 可选，Docker监控
    restart: unless-stopped  # 自动重启

启动服务：

bash
docker-compose up -d

配置参数说明

Wazuh agent Docker镜像通过环境变量进行配置，主要参数如下：

持久化配置

默认情况下，agent配置文件位于容器内/var/ossec/etc/ossec.conf。若需自定义配置（如采集规则、日志路径等），可通过挂载本地目录持久化配置：

bash
docker run -d \
  --name wazuh-agent \
  --network host \
  -e WAZUH_MANAGER=192.168.1.100 \
  -v /path/to/local/ossec.conf:/var/ossec/etc/ossec.conf:ro \  # 挂载自定义配置文件
  -v /var/log:/var/log:ro \
  wazuh/wazuh-agent:4.5.0

验证部署

1. 查看容器状态：

bash
docker ps | grep wazuh-agent

2. 查看agent日志，确认连接manager成功：

bash
docker logs wazuh-agent

成功连接日志示例：2023/10/01 12:00:00 ossec-agentd: INFO: Connected to 192.168.1.100 at address 192.168.1.100:1514

3. 在Wazuh manager中验证agent在线状态：

bash
/var/ossec/bin/agent_control -l

应显示agent名称及状态为active。

注意事项

• 版本兼容性：agent版本需与manager版本匹配（主版本号必须相同，如agent 4.5.x对应manager 4.5.x），否则可能导致通信失败。
• 网络权限：容器需能访问manager的注册端口（1515）和通信端口（1514），确保防火墙规则允许双向通信。
• 数据采集权限：挂载主机目录（如/var/log、/etc）时需确保容器内用户（通常为root）有读取权限，必要时使用--user root或调整主机目录权限。
• 资源限制：建议为容器设置资源限制（如--memory=256m --cpus=0.5），避免资源占用过高。