Introducción
En esta guía te voy a enseñar cómo instalar Wazuh en un servidor Linux de forma sencilla y rápida. Cubriremos tanto el método all-in-one (todos los componentes en un solo servidor) como la instalación de componentes por separado para entornos de producción más grandes. Esta guía funciona para Ubuntu 24.04, 22.04, Debian 12, CentOS 8/9 y Rocky Linux.
Video: Instalación de Wazuh en Linux
18 minutos - Paso a paso con ejemplos prácticos
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
Arquitectura de Wazuh: ¿Qué componentes necesitas?
Antes de instalar, es importante entender los tres componentes principales de Wazuh:
- Wazuh Indexer: Almacena y permite buscar todos los eventos y alertas. Basado en OpenSearch.
- Wazuh Server (Manager): Recibe los datos de los agentes, analiza logs, ejecuta reglas de detección y genera alertas.
- Wazuh Dashboard: Interfaz web para visualizar alertas, buscar eventos, gestionar agentes y generar reportes.
Además, necesitarás instalar Wazuh Agents en cada servidor o endpoint que quieras monitorizar.
Métodos de instalación
Tienes dos opciones principales para instalar Wazuh:
1. Instalación All-in-One (Recomendada para empezar)
El método all-in-one instala los tres componentes (Indexer, Server y Dashboard) en un único servidor con un solo comando. Es perfecto para:
- Entornos de prueba y laboratorio
- Pequeñas empresas (hasta 50-100 agentes)
- Aprender a usar Wazuh antes de desplegarlo en producción
Ventaja: En menos de 10 minutos tienes Wazuh funcionando completamente, listo para añadir agentes.
2. Instalación de componentes por separado
Para entornos de producción con alta disponibilidad o muchos agentes, es mejor instalar cada componente en servidores dedicados:
- Un servidor (o cluster) para el Wazuh Indexer
- Un servidor (o cluster) para el Wazuh Server
- Un servidor para el Wazuh Dashboard
Esto permite escalar cada componente de forma independiente según las necesidades.
Requisitos del sistema
Para una instalación all-in-one, estos son los requisitos mínimos:
| Recurso | Mínimo | Recomendado |
|---|---|---|
| CPU | 2 cores | 4 cores |
| RAM | 4 GB | 8 GB |
| Disco | 50 GB | 100 GB SSD |
| Sistema Operativo | Ubuntu 22.04/24.04, Debian 11/12, CentOS 8/9, Rocky Linux 8/9 | |
Importante: El disco SSD es muy recomendable porque el Indexer hace muchas operaciones de lectura/escritura. Con HDD tradicional el rendimiento será notablemente peor.
Instalación All-in-One paso a paso
Vamos a instalar Wazuh con el método all-in-one. Necesitas acceso root o sudo al servidor.
Paso 1: Preparar el servidor
Primero, asegúrate de que el sistema está actualizado:
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/Rocky Linux
sudo dnf update -yPaso 2: Descargar y ejecutar el instalador
Wazuh proporciona un script oficial que automatiza todo el proceso. Con un solo comando descargas el script y lo ejecutas:
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
El flag -a indica instalación all-in-one. El script:
- Detecta automáticamente tu sistema operativo
- Instala todas las dependencias necesarias
- Configura el Wazuh Indexer, Server y Dashboard
- Genera certificados SSL automáticamente
- Inicia todos los servicios
El proceso tarda entre 5 y 15 minutos dependiendo de la velocidad de tu servidor y conexión a Internet.
Paso 3: Guardar las credenciales
Al finalizar la instalación, el script te mostrará las credenciales de acceso al Dashboard:
INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
User: admin
Password: <CONTRASEÑA_GENERADA>Importante: Guarda esta contraseña en un lugar seguro. Si la pierdes, tendrás que resetearla manualmente.
Paso 4: Acceder al Dashboard
Abre tu navegador y accede a:
https://<IP_DE_TU_SERVIDOR>
Introduce el usuario admin y la contraseña que guardaste. ¡Ya tienes Wazuh funcionando!
Instalación de componentes por separado
Si necesitas una arquitectura distribuida, puedes instalar cada componente en un servidor diferente. Wazuh proporciona documentación detallada para cada caso:
El proceso es similar: descargas scripts específicos y los ejecutas en cada servidor. La principal diferencia es que debes configurar la comunicación entre componentes (IPs, certificados, etc.).
Siguiente paso: Instalar agentes
Con Wazuh instalado, el siguiente paso es instalar agentes en los servidores y endpoints que quieras monitorizar. Los agentes recopilan logs, monitorizan ficheros, detectan vulnerabilidades y envían toda esa información al Wazuh Server.
Puedes instalar agentes en:
- Servidores Linux (Ubuntu, Debian, CentOS, Rocky, RHEL...)
- Servidores Windows (Server 2016, 2019, 2022)
- Estaciones de trabajo Windows 10/11
- macOS
- Contenedores Docker
Consulta la documentación oficial: Instalar Wazuh Agent
Recursos adicionales
- Guía Quickstart oficial de Wazuh
- ¿Qué es Wazuh y para qué sirve?
- Monitorización de contenedores Docker con Wazuh
Artículos relacionados:
- ¿Qué es Wazuh y para qué sirve?
- IA para Threat Hunting en Wazuh
- Monitorización de contenedores Docker con Wazuh
Aprende Wazuh de forma práctica
Este artículo es solo el comienzo. En nuestro curso de Wazuh aprenderás a configurar agentes, crear reglas personalizadas, integrar con otras herramientas y mucho más, todo con ejemplos prácticos y acceso permanente.