# Agent Installationen # Wazuh Agent installieren Meldet euch im Wazuh an und wählt dann unter den Agents > Deploy Agent. Alternativ aber auch hier noch mal. **Windows Wazuh Agent installieren:** ``` Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.6.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.50.10' WAZUH_AGENT_GROUP='default,SERVERS,WINDOWS' WAZUH_REGISTRATION_SERVER='192.168.50.10' ``` Windows Agent starten: ``` NET START WazuhSvc ``` **Linux Agent installieren:** Folgt noch. **Proxmox Agent installieren:** Installation für Proxmox ist besser wenn man diese manuell ausführt, eine Anleitung findet ihr hier: [https://wiki.leibling.de/books/freesoc-soc-basierend-auf-open-source-mitteln/page/wazuh-agent-installieren-auf-proxmox-pve-pbs-und-evtl-pmr.](https://wiki.leibling.de/books/freesoc-soc-basierend-auf-open-source-mitteln/page/wazuh-agent-installieren-auf-proxmox-pve-pbs-und-evtl-pmr) # Elastic Agent installieren Elastic Agent installieren: ``` $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.10.4-windows-x86_64.zip -OutFile elastic-agent-8.10.4-windows-x86_64.zip Expand-Archive .\elastic-agent-8.10.4-windows-x86_64.zip -DestinationPath . cd elastic-agent-8.10.4-windows-x86_64 .\elastic-agent.exe install --url=https://192.168.50.20:8220 --enrollment-token=bG9RUG9Zc0JnN1Q5NzctWExPZEI6MzVTaGpiR0pTd3VhTUN1aXdFVWZ6Zw== --insecure ``` # Wazuh Agent installieren auf Proxmox (PVE, PBS und evtl. PMR) Die aktuellen Proxmox Versionen nutzen Debian 12 (Stand 04/2024). Diese sollten normalerweise unterstützt werden - jedoch lassen sie diese nicht so einfach installieren, bzw. in Betrieb nehmen. Ich hatte beispielsweise das Problem, das sich der Agent zwar installieren aber nicht starten ließ (z.B. fehlte der User Wazuh, was man in der /etc/passwd sehen konnte - aber es fehlen auch noch andere Dinge, die Wazuh benötigt. Sollte eine zuvor versuchte Installation noch vorhanden sein, dann diese wieder entfernen: ``` apt remove --purge wazuh-agent ``` Danach müssen wir dann den Client erst mal runterladen (aktuelle Übersicht der Downloadadressen findet ihr hier: [https://documentation.wazuh.com/current/installation-guide/packages-list.html](https://documentation.wazuh.com/current/installation-guide/packages-list.html) - hier könnt ihr mit der rechten Maustaste auf den Link gehen und dann die Adresse kopieren), z.B. ``` wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb ``` Anschließend dann die Vorraussetzungen erfüllen und folgende Komponenten laden: ``` apt install lsb-base lsb-release ``` Danach dann die benötigen Variablen laden, die der Agent bei der Installation verwendet (bitte verwendet natürlich eure eigenen Daten: ``` WAZUH_MANAGER='192.168.1.1' WAZUH_AGENT_GROUP='default,LINUX,SERVER,PROXMOX' ``` Danach könnt ihr dann auch schon den Agent installieren mit: ``` dpkg -i wazuh-agent_4.7.3-1_amd64.deb ``` Anschließend den Dienst registrieren und starten: ``` systemctl daemon-reload systemctl enable wazuh-agent systemctl start wazuh-agent ``` Sollte der Start einen Fehler ausgeben, dann könnt ihr den wie folgt kontrollieren: ``` systemctl status wazuh-agent ``` Sollte dort angegeben werden, das der Manager nicht gefunden wurde, dann hat das Setup die Daten die variablen nicht richtig übernommen, kontrolliert bitte ob in der Daten /var/ossec/etc/ossec.conf die Adresse verwendet wird und nicht der Name MANAGER\_IP - ihr könnt auch direkt die Gruppen und das Debian Profil kontrollieren - es sollte ungefähr so aussehen: ```
192.168.1.1
1514 tcp debian, debian12 10 60 yes aes yes default,PROXMOX,LINUX,SERVERS etc/authd.pass ``` Wenn ihr dies geändert habt, dann könnt ihr wieder den Agent erneut starten und kontrollieren ob er gestartet wurde: ``` systemctl start wazuh-agent systemctl status wazuh-agent ``` Der Agent sollte nun nach kurzer Zeit in eurer Wazuh Agent Übersicht auftauchen. Noch ein wenig schneller geht es, wenn ihr den Teil mit den Variablen laden überspringt - während das bei fast allen Linux Systemen funktioniert, scheint es bei den Proxmox Systemen nicht zu funktionieren) und auch bevor ihr den Dienst registriert/startetn schon vorher die ossec.conf kontrolliert und ggf. anpasst. So sollte dann jeder Agent in ca. 3 Minuten installiert sein.