AI SECURITY logo AI SECURITY
Background
Wazuh Linux Agente SIEM Monitorización Ciberseguridad

Cómo Instalar el Agente Wazuh en Linux

Guía paso a paso para instalar y configurar el agente de Wazuh en Linux (Debian/Ubuntu). Comando de instalación, configuración del ossec.conf, localfile y reinicio del servicio.

AI Security
8 min lectura
Background

Introducción

En esta guía te enseño cómo instalar el agente de Wazuh en Linux (Debian/Ubuntu) y configurar los aspectos más importantes del archivo ossec.conf. El agente es el componente que recopila logs, monitoriza la integridad de archivos y envía toda la información al servidor Wazuh.

Video: Instalación del Agente Wazuh en Linux
Contenido del curso

Video: Instalación Agente Linux

8 minutos - Instalación y configuración ossec.conf

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Requisito previo: Conectividad con el servidor

Importante: Antes de instalar el agente, asegúrate de que la máquina tiene conectividad con el servidor Wazuh. El agente necesita comunicarse con el servidor para enviar los logs y recibir configuración.

Puedes verificar la conectividad de varias formas:

1. Ping al servidor

ping IP_SERVIDOR

2. Verificar acceso al Dashboard (puerto 443)

# Usando curl
curl -k https://IP_SERVIDOR

# O abre en el navegador
https://IP_SERVIDOR

Si el Dashboard carga correctamente, significa que hay conectividad. Si no funciona, revisa:

  • Firewall del servidor (puertos 443 y 1514 abiertos)
  • Firewall del cliente
  • Configuración de red/VPN si están en redes diferentes

Comando de instalación

Ejecuta estos comandos como root o con sudo. Debes sustituir los siguientes valores por los de tu entorno:

  • WAZUH_MANAGER: IP o hostname de tu servidor Wazuh
  • WAZUH_AGENT_NAME: Nombre identificativo para este agente (ej: servidor-web, db-produccion, etc.)

Debian/Ubuntu

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.9.2-1_amd64.deb && sudo WAZUH_MANAGER='TU_IP_SERVIDOR' WAZUH_AGENT_NAME='NOMBRE_AGENTE' dpkg -i ./wazuh-agent_4.9.2-1_amd64.deb

Ejemplo real: Si tu servidor Wazuh está en 192.168.1.100 y quieres llamar al agente "servidor-web":

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.9.2-1_amd64.deb && sudo WAZUH_MANAGER='192.168.1.100' WAZUH_AGENT_NAME='servidor-web' dpkg -i ./wazuh-agent_4.9.2-1_amd64.deb

Habilitar e iniciar el servicio

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Archivo de configuración ossec.conf

El archivo de configuración del agente se encuentra en: 

/var/ossec/etc/ossec.conf

Este archivo XML contiene toda la configuración del agente. Las dos secciones más importantes son localfile y syscheck.

Sección localfile - Monitorización de logs

La sección <localfile> define qué logs del sistema quieres enviar a Wazuh. Por defecto, el agente monitoriza los logs del sistema, pero puedes añadir logs de aplicaciones específicas.

Ejemplo: Añadir logs de Apache2

Para monitorizar los logs de error de Apache2, edita el archivo ossec.conf: 

sudo nano /var/ossec/etc/ossec.conf

Añade la siguiente configuración dentro del bloque <ossec_config>: 

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/error.log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/access.log</location>
</localfile>

Formatos de log disponibles:

  • syslog - Para logs del sistema (/var/log/syslog, /var/log/auth.log)
  • apache - Para logs de Apache/Nginx
  • json - Para aplicaciones que generan logs en JSON
  • multi-line - Para logs que ocupan varias líneas

Sección syscheck - File Integrity Monitoring (FIM)

La sección <syscheck> configura el File Integrity Monitoring. Esta funcionalidad detecta cambios en archivos y carpetas críticas del sistema.

Ejemplo de configuración: 

<syscheck>
  <frequency>300</frequency>
  <directories check_all="yes">/etc</directories>
  <directories check_all="yes">/usr/bin</directories>
  <directories check_all="yes">/var/www</directories>
</syscheck>

Reiniciar el servicio del agente

Después de modificar el archivo ossec.conf, debes reiniciar el servicio para aplicar los cambios: 

# Reiniciar el agente
sudo systemctl restart wazuh-agent

# Verificar estado
sudo systemctl status wazuh-agent

# Habilitar inicio automático
sudo systemctl enable wazuh-agent

Comandos útiles

Algunos comandos adicionales para gestionar el agente: 

# Ver logs del agente
sudo tail -f /var/ossec/logs/ossec.log

# Verificar conexión con el servidor
sudo /var/ossec/bin/agent-auth -m IP_SERVIDOR

# Ver información del agente
sudo /var/ossec/bin/agent_control -i

Recursos adicionales

Artículos relacionados:

Aprende Wazuh de forma práctica

Este artículo es parte del contenido del curso. Aprende a configurar agentes, crear reglas personalizadas, integrar con otras herramientas y mucho más.

Ver Curso Wazuh - 50€ Implementación profesional
Background
Volver al blog