Wazuhを4.2から4.3にアップデートするに当たり、結構破壊的な変更があった。
- 実行ユーザーがwazuhユーザーへ
- ODFE版を使っている場合は、4.2までしか今の所Dockerイメージの提供がないので、4.3にするならばイメージの変更及び、ElasitcsearchからOpensearchへ変更が必要
- Opensearch Dashboardは認証が標準でDockerイメージに入っている
Wazuhが何かという方はこちら。
実行ユーザーがwazuhユーザーへ
4.2系まではossecユーザーが実行ユーザーであるプロセスがほとんどだったが、4.3からはwazuhユーザーへ変更されているので、chownなりchmodが必要だった。僕はentrypointで各種パーミッションを設定するように作り込んでいるので、そこでよしなにやった。
ElasticsearchからOpensearchへ
これはDockerイメージ差し替えるだけではうまくいかず、下記のような大人の小手先のテクニックを利用してインデックスの移行が必要だった。
1 2 3 4 5 | curl -XGET "localhost:9200/_cat/shards?h=index" | sort | uniq | grep wazuh | while read line do elasticdump --input=http: //elasticsearch . local :9200/$line --output=http: //opensearch . local :9200/$line -- type =mapping elasticdump --input=http: //elasticsearch . local :9200/$line --output=http: //opensearch . local :9200/$line -- type =data --limit 10000 done |
またalertsインデックスのテンプレートは別途作成する必要がある。
僕はES 7.17系からの移行だったが思いの外すんなりいってラッキーだったかもしれない。
Opensearch Dashboardは認証が標準でDockerイメージに入っている
いわゆるkibanaのOpensearch版なのだが、他で認証していて、認証を無効にしたい場合は下記のようにイメージをビルドする必要がある。
最後に
Wazuh 4.3、APIも結構変更があって、脆弱性情報などの管理もしやすくなっているので、可能であればバージョンアップして行くのがいいと思う。