Introducción
En esta guía te enseño cómo configurar grupos en Wazuh para organizar tus agentes y aplicar configuraciones centralizadas. Los grupos son fundamentales cuando gestionas muchos agentes de diferentes tipos (Windows, Linux, bases de datos, servidores web, etc.).
Video: Configuración de Grupos
10 minutos - Grupos y configuración centralizada
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
¿Para qué sirven los grupos en Wazuh?
Los grupos en Wazuh permiten organizar los agentes según su tipo o función y aplicar configuraciones específicas a cada grupo. Esto es fundamental para gestionar entornos con muchos agentes de forma eficiente.
En lugar de configurar cada agente individualmente, defines la configuración una vez en el grupo y todos los agentes que pertenezcan a ese grupo la reciben automáticamente.
Ejemplos de grupos por tipo de sistema
Algunos ejemplos típicos de grupos que puedes crear:
- windows - Todos los equipos Windows (escritorios, servidores)
- linux - Servidores y equipos Linux
- databases - Servidores de bases de datos (MySQL, PostgreSQL, MongoDB)
- webservers - Servidores web (Apache, Nginx, IIS)
- production - Sistemas en producción (monitorización más estricta)
- development - Sistemas de desarrollo/testing
- dmz - Servidores en la zona desmilitarizada
Tip: Un agente puede pertenecer a varios grupos. Por ejemplo, un servidor puede estar en el grupo "linux" y también en "webservers" y "production".
Configuración centralizada por grupo
La ventaja principal de los grupos es que puedes definir una configuración de ossec.conf que se aplica automáticamente a todos los agentes del grupo. Cuando modificas la configuración del grupo en el servidor, todos los agentes la reciben.
Ubicación de las configuraciones de grupo (en el servidor Wazuh)
/var/ossec/etc/shared/Dentro de esta carpeta encontrarás una subcarpeta por cada grupo:
/var/ossec/etc/shared/default/ # Grupo por defecto (todos los agentes)
/var/ossec/etc/shared/windows/ # Grupo windows
/var/ossec/etc/shared/linux/ # Grupo linux
/var/ossec/etc/shared/databases/ # Grupo databases
/var/ossec/etc/shared/webservers/ # Grupo webserversArchivo agent.conf
Cada grupo tiene un archivo agent.conf que contiene la configuración que se enviará a los agentes de ese grupo:
/var/ossec/etc/shared/linux/agent.confEjemplo de agent.conf para grupo Linux
Configuración típica para servidores Linux que monitoriza logs de Apache y directorios críticos:
<agent_config>
<!-- Monitorizar logs de Apache -->
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/error.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
<!-- Monitorizar logs de Nginx -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/nginx/error.log</location>
</localfile>
<!-- File Integrity Monitoring -->
<syscheck>
<frequency>300</frequency>
<directories check_all="yes">/etc</directories>
<directories check_all="yes">/var/www</directories>
<directories check_all="yes">/usr/bin</directories>
</syscheck>
</agent_config>Ejemplo de agent.conf para grupo Databases
Configuración para servidores de bases de datos (MySQL/MariaDB):
<agent_config>
<!-- Logs de MySQL -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/mysql/error.log</location>
</localfile>
<!-- Logs de PostgreSQL -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/postgresql/postgresql-*.log</location>
</localfile>
<!-- Monitorizar archivos de configuración de BD -->
<syscheck>
<frequency>300</frequency>
<directories check_all="yes">/etc/mysql</directories>
<directories check_all="yes">/etc/postgresql</directories>
</syscheck>
</agent_config>Crear grupos desde el Dashboard
Puedes crear y gestionar grupos desde la interfaz web de Wazuh:
- Accede al Dashboard de Wazuh
- Ve a Management → Groups
- Clic en Add new group
- Introduce el nombre del grupo (ej: "webservers")
- Guarda el grupo
Asignar agentes a grupos
Los agentes pueden asignarse a grupos de dos formas:
1. Durante la instalación del agente
Usando la variable de entorno WAZUH_AGENT_GROUP:
# Linux - asignar al grupo "linux"
WAZUH_MANAGER="192.168.1.100" WAZUH_AGENT_GROUP="linux" apt-get install wazuh-agent
# Linux - asignar a múltiples grupos
WAZUH_MANAGER="192.168.1.100" WAZUH_AGENT_GROUP="linux,webservers,production" apt-get install wazuh-agent2. Desde el Dashboard (agentes ya instalados)
- Ve a Agents
- Selecciona el agente
- En la pestaña de información, busca Groups
- Asigna los grupos deseados
Verificar configuración recibida en el agente
Para comprobar qué configuración ha recibido un agente Linux desde su grupo, accede al agente y ejecuta:
# Ver la configuración compartida recibida del servidor
cat /var/ossec/etc/shared/agent.conf
# Ver información del grupo asignado
cat /var/ossec/etc/shared/ar.conf
# Ver todos los archivos compartidos recibidos
ls -la /var/ossec/etc/shared/Importante: Después de modificar el agent.conf de un grupo en el servidor, los agentes reciben la nueva configuración automáticamente (puede tardar unos minutos). No es necesario reiniciar los agentes manualmente.
Recursos adicionales
- Documentación oficial: Grouping agents
- Centralized configuration
- Instalación del Agente en Linux
- Instalación del Agente en Windows
Artículos relacionados:
- Cómo Instalar Wazuh en Linux (Ubuntu 24.04)
- Cómo Instalar el Agente Wazuh en Linux
- Cómo Instalar el Agente Wazuh en Windows
- ¿Qué es Wazuh y para qué sirve?
Aprende Wazuh de forma práctica
Este artículo es parte del contenido del curso. Aprende a configurar grupos, crear reglas personalizadas, integrar con otras herramientas y mucho más.