前回構築したWazuh(OVA)環境を利用し、WindowsおよびLinuxエンドポイントのログ収集を開始する手順を説明します。
はじめに:今回はWazuhエージェントを導入します
みなさんこんにちは。
前回の記事では、Wazuh公式の仮想マシンイメージ(OVA)を使用し、VirtualBox上にWazuhサーバー環境を構築しました。無事にWeb UIへアクセスできたでしょうか?
▼前回の記事をまだご覧になっていない方はこちら
【初心者向け】最短で構築!Wazuh公式OVAで検証環境を作る方法(VirtualBox)
今回はその続きとして、Wazuhエージェントを導入し、ログ収集とセキュリティ分析を開始していきます。
ⓘ 補足
Wazuhエージェントは、監視対象のWindowsやLinuxにインストールするプログラムです。
OSのログや設定情報、インストール済みソフトウェアの情報などを収集し、Wazuhサーバーへ送信します。
Wazuhサーバーはこれらの情報を分析し、不審な操作や設定変更を検知します。
この記事でできるようになること
本記事では、Windows Server 2025およびUbuntu 24.04 LTSにWazuhエージェントを導入する手順を解説します。
この記事を読み終えると、以下のことができるようになります。
- Wazuh Web UIからエージェント導入コマンドを生成できる
- Windows Server 2025にWazuhエージェントを導入できる
- Ubuntu 24.04 LTSにWazuhエージェントを導入できる
- Wazuh Web UI上でエージェントの登録状態を確認できる
- エージェントのステータスがactiveにならない場合の基本的な確認ポイントが分かる
本記事は、Wazuh, Inc. のオンラインドキュメント「Wazuh agent」を参考にして作成しています。
本記事に関するお問い合わせは、弊社のお問い合わせフォームよりご連絡ください。記事の作成にあたっては正確な記述に努めていますが、本記事の内容に基づく運用結果について、弊社では一切の責任を負いかねます。あらかじめご了承ください。
作業前にご確認ください
作業に入る前に、今回の構成と基本的な動作を確認しておきましょう。
Wazuhサーバーとエージェントの関係
Wazuhでは、ログを集めて分析する側を「Wazuhサーバー」、監視対象のホストを「エージェント」と呼びます。今回の構成では、前回構築した仮想マシンが「Wazuhサーバー」、今回エージェントを導入するWindows Server 2025およびUbuntu 24.04が「エージェント」に該当します。
エージェントを導入すると何が始まるのか
エージェントを導入すると、以下のようなログ収集やセキュリティ監視が自動的に開始されます。
- Windows:主要なイベントログ(System、Application、Security)の自動転送
- Ubuntu:auth.logやsyslogなどのログの自動転送
- 共通:ファイル整合性監視(重要ファイルの変更検知)、OSのセキュリティ構成監査(SCA)、インベントリスキャン
💡 ヒント
エージェントをインストールして起動するだけで、セキュリティ監視に必要な基本的なログ収集が自動的に開始されます。
ⓘ 補足
デフォルト設定のままで何ができるのかについては、次回の記事で解説予定です。
本記事では、まずログ収集が開始されるところまでを確認します。
より高度なカスタマイズを行いたい場合は、Wazuh公式オンラインドキュメントを参照するか、弊社までお問い合わせください。
作業環境と前提条件
本記事で利用する検証環境は、以下の通りです。
今回使用する環境
前回構築したWazuhサーバー環境に加えて、以下の監視対象(エージェント)を使用します。
- Wazuhサーバー:前回構築済みのWazuh v4.14.5(VirtualBox上の仮想マシン)
- 監視対象Windows:Windows Server 2025(評価版)
- 監視対象Linux:Ubuntu 24.04 LTS
作業前に確認すること
作業を開始する前に、以下の点を確認してください。
- Wazuh v4.14のWazuhサーバー環境が構築済みであること
- Wazuh Web UIにログインできること
- 作業端末から監視対象WindowsホストへRDP接続できること
- 作業端末から監視対象LinuxホストへSSH接続できること
通信要件
監視対象(エージェント)からWazuhサーバーへ、以下のポートへの通信(アウトバウンド)が許可されている必要があります。
- 1514/tcp:エージェントとWazuhサーバー間のデータ通信
- 1515/tcp:エージェントの登録
ⓘ 補足:エージェント側のファイアウォールについて
上記の通信要件に関して、各OSのファイアウォール設定は次の通りです。
– Windows Server 2025:インストーラーが自動的にWindows Defenderファイアウォールに通信許可ルールを追加するため、手動設定は不要です。
– Ubuntu 24.04:Ubuntuの標準ファイアウォール(ufw)はデフォルトでアウトバウンド通信を許可しているため、通常は設定不要です。
– Wazuhサーバー側からエージェント側へのインバウンド通信を許可する必要はありません。通信はエージェントからWazuhサーバーへのアウトバウンドで確立されます。
Windows Server 2025にWazuhエージェントを導入する
ここではWindows Server 2025にWazuhエージェントを導入する手順を説明します。Wazuh Web UIで生成されたコマンドをPowerShellに貼り付けて実行するだけで、簡単に導入できます。
ステップ1:インストールコマンドを生成する
- 前回構築した WazuhのWeb UIにログインします。
- 画面左上の「AGENTS SUMMARY」→「Deploy new agent」をクリックします。
- 次のように選択、入力します。
- Select the package to download and install on your system:
MSI 32/64 bitsを選択します。 - Assign a server address: WazuhサーバーのIPアドレスを入力します。
- Assign an agent name: 監視対象ホストを識別するための任意の名前を入力します。
- Select one or more existing groups: 今回は
Defaultのままとします。
💡ヒント
この例ではAssign an agent name:に「Win2025_01」と入力しています。任意の名前を入力してください。 - Select the package to download and install on your system:
- Run the following commands to download and install the agent:に自動生成されたPowerShellコマンドが表示されます。コマンド表示エリアをクリックし、コマンドをクリップボードにコピーします。
ステップ2:PowerShellでコマンドを実行する
- 監視対象のWindows Server 2025にリモートデスクトップ接続します。
- スタートボタンを右クリックし、「ターミナル(管理者)」を選択します。
⚠ 注意
必ず「管理者権限」でターミナル(PowerShell)を起動してください。 - ユーザーアカウント制御ダイアログで「はい」を選択します。
- コピーしたコマンドを貼り付け(右クリックまたはCtrl+V)ます。
ⓘ 補足
環境ごとにコマンドは異なります。必ずご自身の画面で生成されたコマンドを使用してください。 - Enterキーを押して実行します。
ステップ3:Wazuhエージェントを起動する
コマンドの実行が完了したら、Wazuhエージェントサービスを開始します。
次のコマンドを実行します。
NET START Wazuh
ⓘ 補足
サービス開始前に構成ファイルを編集することもできますが、今回はデフォルト設定のまま起動します。
ステップ4:登録を確認する
- Wazuh Web UI に戻り、画面下部のBack to agent listを選択してEndpointsページに移動します。
- Agentsセクションに監視のWindowsホストが表示されていることを確認します。
Statusがactiveであることを確認してください。
💡ヒント
Statusがactiveの場合、エージェントが正常に登録され、Wazuhサーバーと通信できています。
インストール直後は、activeになるまで数秒から数十秒かかる場合があります。Refreshリンクをクリックして確認してください。数分経ってもactiveにならない場合は、ネットワーク接続やWazuhサーバーのIPアドレス設定を確認してください。
Ubuntu 24.04にWazuhエージェントを導入する
ここではLinux(Ubuntu 24.04 LTS)にWazuhエージェントを導入する手順を説明します。 基本的な流れはWindowsと同じで、Web UIで生成したコマンドをターミナルで実行するだけです。
ステップ1:インストールコマンドを生成する
- Endpoints画面が表示されている場合は、Agentsセクションの「Deploy new agent」をクリックします。
Endpoints画面が表示されていない場合は、画面左上のハンバーガーメニュー(三本線アイコン:☰)→「Agents management」→「Summary」を選択し、Agentsセクションの「Deploy new agent」をクリックします。 - 次のように選択、入力します。
- Select the package to download and install on your system:
DEB amd64を選択します。 - Assign a server address: WazuhサーバーのIPアドレスを入力します。
- Assign an agent name: 監視対象ホストを識別するための任意の名前を入力します。
- Select one or more existing groups:
Defaultのままとします。
💡ヒント
この例ではAssign an agent name:に「Ubuntu24.04_01」と入力しています。任意の名前を入力してください。
- Select the package to download and install on your system:
- Run the following commands to download and install the agent:に自動生成されたコマンドが表示されます。コマンド表示エリアをクリックし、コマンドをクリップボードにコピーします。
ステップ2:ターミナルでコマンドを実行する
- 監視対象のUbuntu 24.04へsudo権限を持つユーザーでSSH接続します。
- コピーしたコマンドをターミナルへ貼り付け(右クリックまたはCtrl+V)、Enterキーを押して実行します。
ⓘ 補足
環境ごとにコマンドは異なります。必ずご自身の画面で生成されたコマンドを使用してください。sudoのパスワード入力を求められた場合は、パスワードを入力してください。
ステップ3:Wazuhエージェントを起動する
インストールが完了したら、次回OS起動時にも自動実行(enable)されるように設定し、サービスを起動します。
- Wazuh Web UI に戻り、Start the agent:セクションのコマンド表示エリアをクリックしてコマンドをクリップボードにコピーします。
- コピーしたコマンドをターミナルへ貼り付け(右クリックまたはCtrl+V)、Enterキーを押して実行します。
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
ⓘ 補足
サービス開始前に構成ファイルを編集することもできますが、今回はデフォルト設定のまま起動します。
(任意)バージョンを固定する
Wazuhエージェントのバージョンは、Wazuhサーバー(マネージャー)のバージョン以下である必要があります。意図しない自動更新による不整合を防ぐため、バージョンを固定しておきます。
次のコマンドを実行します。
echo "wazuh-agent hold" | sudo dpkg --set-selectionsⓘ 補足
後日 apt upgrade 実行時に、エージェントだけが新しいバージョンへ更新されると、通信エラーになる可能性があります。なお、Windows版エージェントは、Windows Updateで自動更新されることはないため、同様の設定は不要です。
ステップ4:登録を確認する
- Wazuh Web UI に戻り、画面下部のBack to agent listを選択して Endpointsページに移動します。
- Agentsセクションに対象のLinuxホストが表示されていることを確認します。
Statusがactiveであることを確認してください。
💡 ヒント
Statusがactiveの場合、Wazuhエージェントが正常に登録され、通信が確立されています。
インストール直後は、activeになるまで数秒から数十秒かかる場合があります。Refreshリンクをクリックして確認してください。数分経ってもactiveにならない場合は、ネットワーク接続やIPアドレス設定を確認してください。
動作確認:収集された情報を確認する
エージェントのステータスがactiveになったら、実際に収集された情報を確認してみましょう。
- Endpoints ページの Agents セクションでエージェントをクリックし、エージェントの詳細ページを開きます。
- System inventoryセクションのOpen IT Hygieneを選択してみてください。
IT Hygieneページが開き、以下のような情報を確認できます。
- OS、ハードウェア(CPU、メモリ)
- インストールされているパッケージやアプリケーション
- 実行中のプロセス
- ネットワーク情報
- ユーザーおよびグループ
- サービス情報
ⓘ 補足
デフォルト設定のままでも、Wazuhエージェントは監視対象ホストの情報を自動的に収集し、Wazuhサーバーへ送信しています。
エージェントがactiveにならない場合の確認ポイント
エージェントのステータスがactiveにならない場合は、次のポイントを順に確認してください。
エージェントサービスが起動しているか確認する
- Windowsホストの場合:
PowerShellを管理者として実行し、次のコマンドを実行します。
Get-Service -Name wazuhsvc
StatusがRunningになっていない場合は、次のコマンドでサービスを起動してください。Start-Service -Name wazuhsvc - Linux(Ubuntu 24.04)ホストの場合:
ターミナルで次のコマンドを実行します。
systemctl status wazuh-agent「Active: active (running)」と表示されていれば正常です。
「Active: active (running)」と表示されない場合は、次のコマンドを実行してサービスを起動してください。sudo systemctl start wazuh-agent
エージェントログを確認する
エージェントログにErrorやWARNINGが出力されていないかを確認します。
次のログファイルを確認してください。
- Windowsホストの場合:
C:\Program Files (x86)\ossec-agent\ossec.log - Linuxホストの場合:
/var/ossec/logs/ossec.log
エラー内容に応じて、IPアドレス設定や通信状態、サービス起動状況などを確認してください。
WazuhサーバーのIPアドレスを確認する
エージェントの設定ファイルに記載されているWazuhサーバーのIPアドレスが正しいことを確認します。次の設定ファイルを確認してください。
- Windowsホストの場合:
C:\Program Files (x86)\ossec-agent\ossec.conf - Linuxホストの場合:
/var/ossec/etc/ossec.conf
<address>タグに正しいWazuhサーバーのIPアドレスが設定されていることを確認してください。
<ossec_config>
<client>
<server>
<address>WazuhサーバーのIP</address>
<port>1514</port>
<protocol>tcp</protocol>
</server>
(中略)
</client>
....
設定されているIPアドレスが誤っている場合は、正しいWazuhサーバーのIPアドレスに修正してください。設定を変更した場合は、変更を反映するためにWazuhエージェントのサービスを再起動します。
- Windowsホストの場合:
PowerShellを管理者として実行し、次のコマンドを実行します。
Restart-Service -Name wazuhsvc - Linuxホストの場合:
ターミナルで次のコマンドを実行します。
sudo systemctl restart wazuh-agent
Wazuhサーバーとの通信を確認する
エージェントからWazuhサーバーへ接続できるかを確認します。
- Windowsの場合(PowerShell):
(new-object Net.Sockets.TcpClient).Connect("<WazuhサーバーのIP>", 1514)
(new-object Net.Sockets.TcpClient).Connect("<WazuhサーバーのIP>", 1515)
💡ヒント
接続に成功した場合は出力はありません。エラーが表示された場合は通信できていません。
- Linuxの場合:
ターミナルで次のコマンドを実行します。
nc -zv <WazuhサーバーのIP> 1514 1515
💡ヒント
接続に成功すると、接続成功のメッセージ(succeeded!)が表示されます。
通信に失敗した場合は、以下を確認してください。
- WazuhサーバーのIPアドレスが正しいか
- ポート(1514 / 1515)がファイアウォールで許可されているか
- ネットワーク的にWazuhサーバーへ到達可能か
設定を修正した後は、再度通信確認を行い、その後Wazuh Web UIでエージェントのステータスが active になるか確認してください。
まとめ:Wazuhエージェント導入でログ収集を開始できました
お疲れさまでした。
Wazuhエージェントの導入により、監視対象ホストのログ収集と基本的なセキュリティ監視が開始されました。
「Deploy new agent」機能を使えば、コマンドをコピー&ペーストするだけで、簡単にエージェントを導入できることを実感いただけたのではないでしょうか。
次回予告:初期設定のWazuhで何ができる?
エージェントの導入が完了し、ログ収集が開始されました。
では、この初期状態(デフォルト設定)のままで、Wazuhはどのようなことができるのでしょうか。
次回の記事では、今回構築した検証環境をそのまま使用し、「初期設定のままで何ができるのか?」をテーマに解説します。実際にテスト用のログを発生させて確認していきます。
Wazuhの導入・運用を検討している方へ
本記事の内容は、検証環境での利用を前提とした構成です。
本番運用では、ストレージ容量の調整や可用性の確保など、インフラ運用も考慮する必要があります。このような運用負荷を軽減したい場合は、Wazuh Cloudの利用も選択肢の一つです。
今回ご紹介した「Deploy new agent」機能は、Wazuh Cloud環境でも同様に利用できます。
Wazuh Cloudでは無料トライアルも提供されていますので、利用イメージを確認するためにも、ぜひ一度お試しください。
Wazuh製品紹介ページ
Wazuhの特長や機能については、以下の製品紹介ページをご参照ください。
Wazuh Cloud無料トライアル
Wazuh Cloudの無料トライアルについては、以下よりお気軽にお問い合わせください。
