Wazuh Docker容器

镜像概述和主要用途

Wazuh Docker容器提供运行Wazuh安全监控平台所需的完整组件，包括：

• Wazuh manager：运行Wazuh manager、Wazuh API和Filebeat OSS，负责日志收集、规则检测和告警生成。
• Wazuh dashboard：提供Web用户界面，用于浏览告警数据、可视化代理配置和状态。
• Wazuh indexer：作为索引器容器，支持单节点集群或多节点集群部署（需注意调整vm.max_map_count系统设置，详见Wazuh文档）。

仓库包含多个功能目录：

• build-docker-images：构建Wazuh镜像的指南和资源。
• indexer-certs-creator：生成索引器证书的工具和说明。
• single-node：单节点部署指南（1个manager、1个indexer、1个dashboard）。
• multi-node：多节点部署指南（2个manager、3个indexer、1个dashboard）。

核心功能和特性

组件功能

• Wazuh manager：集成Wazuh manager核心服务、RESTful API和Filebeat OSS，实现日志采集、安全规则检测和告警转发。
• Wazuh dashboard：基于Web的可视化平台，支持告警数据浏览、代理状态监控和配置管理。
• Wazuh indexer：提供分布式索引服务，支持告警数据的存储、检索和分析，可灵活扩展为单节点或多节点集群。

部署灵活性

• 支持单节点快速部署（适合测试和小型环境）。
• 支持多节点高可用部署（适合生产环境，提供集群冗余和负载均衡）。

使用场景和适用范围

• 小型环境/测试：通过单节点部署快速搭建Wazuh测试环境，验证安全监控功能。
• 生产环境：通过多节点部署构建高可用安全监控平台，满足企业级日志分析、威胁检测和合规审计需求。
• 安全运维：适用于需要集中管理服务器、网络设备日志，实时监控安全事件的场景。

使用方法和配置说明

文档参考

• Wazuh完整文档
• Wazuh Docker文档
• Docker Hub

SSL证书设置

启动环境前需提供SSL证书（可生成自签名证书），配置方法详见Wazuh Docker文档。

环境变量配置

Wazuh

API_USERNAME="wazuh-wui"                            # Wazuh API用户名
API_PASSWORD="MyS3cr37P450r.*-"                     # Wazuh API密码（需满足8+长度，包含大小写字母和特殊字符）
INDEXER_URL=[***]              # Wazuh indexer URL
INDEXER_USERNAME=admin                              # Wazuh indexer用户名
INDEXER_PASSWORD=SecretPassword                     # Wazuh indexer密码
FILEBEAT_SSL_VERIFICATION_MODE=full                 # Filebeat SSL验证模式（full或none）
SSL_CERTIFICATE_AUTHORITIES=""                      # Filebeat SSL CA证书路径
SSL_CERTIFICATE=""                                  # Filebeat SSL证书路径
SSL_KEY=""                                          # Filebeat SSL密钥路径

Dashboard

PATTERN="wazuh-alerts-*"        # 默认索引模式
CHECKS_PATTERN=true             # 健康检查是否验证索引模式（true/false）
CHECKS_TEMPLATE=true            # 健康检查是否验证模板（true/false）
CHECKS_API=true                 # 健康检查是否验证API（true/false）
CHECKS_SETUP=true               # 健康检查是否验证初始化设置（true/false）
EXTENSIONS_PCI=true             # 启用PCI扩展
EXTENSIONS_GDPR=true            # 启用GDPR扩展
EXTENSIONS_HIPAA=true           # 启用HIPAA扩展
EXTENSIONS_NIST=true            # 启用NIST扩展
EXTENSIONS_TSC=true             # 启用TSC扩展
EXTENSIONS_AUDIT=true           # 启用审计扩展
EXTENSIONS_OSCAP=false          # 启用OpenSCAP扩展
EXTENSIONS_CISCAT=false         # 启用CISCAT扩展
EXTENSIONS_AWS=false            # 启用AWS扩展
EXTENSIONS_GCP=false            # 启用GCP扩展
EXTENSIONS_VIRUSTOTAL=false     # 启用Virustotal扩展
EXTENSIONS_OSQUERY=false        # 启用OSQuery扩展
APP_TIMEOUT=20000               # Wazuh应用请求超时时间（毫秒）
API_SELECTOR=true               # 是否允许用户从应用顶部菜单切换API
IP_SELECTOR=true                # 是否允许用户从应用顶部菜单切换索引模式
IP_IGNORE="[]"                  # 忽略的索引模式列表
DASHBOARD_USERNAME=kibanaserver # 仪表板密钥库中保存的自定义用户
DASHBOARD_PASSWORD=kibanaserver # 仪表板密钥库中保存的自定义密码
WAZUH_MONITORING_ENABLED=true   # 是否启用wazuh-monitoring索引
WAZUH_MONITORING_FREQUENCY=900  # wazuh-monitoring索引 cron任务频率（秒）
WAZUH_MONITORING_SHARDS=2       # wazuh-monitoring-*索引分片数
WAZUH_MONITORING_REPLICAS=0     # wazuh-monitoring-*索引副本数

目录结构说明

• build-docker-images：包含构建Wazuh镜像的脚本和资源，详见目录内README。
• indexer-certs-creator：索引器证书生成工具及资源，详见目录内README。
• single-node：单节点部署配置（1 manager + 1 indexer + 1 dashboard），提供docker-compose文件和部署指南。
• multi-node：多节点部署配置（2 managers + 3 indexers + 1 dashboard），提供高可用部署指南。

部署示例

• 单节点部署：参考single-node目录下的README，使用提供的docker-compose.yml快速启动单节点Wazuh环境。
• 多节点部署：参考multi-node目录下的README，配置多节点集群，实现高可用架构。

兼容性矩阵

版权和许可

Wazuh Docker 版权所有 (C) 2017，Wazuh Inc.（许可证 GPLv2）

参考链接

Wazuh 官网