Автоматическая регистрация агента через веб‑интерфейс Wazuh — это удобно. Но не тогда, когда за спиной NAT, VLAN, split‑horizon DNS или корпоративные файерволы с загадочными правилами. В таких сценариях manage_agents остаётся единственным надёжным инструментом. Рассказываю, как вручную зарегистрировать агента, получить ключ, импортировать его и победить типичные ошибки подключения.

Ручная регистрация Wazuh‑агента: пошаговое руководство

Зачем всё это, если есть автоматическая регистрация?

Wazuh из коробки предлагает удобный механизм автоматической регистрации (enrollment) через веб‑интерфейс или API: указал IP агента, получил команду — и готово. Но на практике он спотыкается там, где начинаются:

  • NAT и трансляция адресов — сервер видит агента с одним IP, агент себя — с другим.

  • Маршрутизация через jump‑хосты — трафик идёт не напрямую.

  • Изолированные VLAN — broadcast‑запросы не проходят.

  • Временные или плавающие IP — агент меняет адрес.

  • Жёсткие политики безопасности — запрещены исходящие вызовы API или веб‑интерфейс не доступен.

В таких условиях manage_agents — не запасной план, а основной.

🔥 Ключевая идея: при ручной регистрации сервер вообще не пытается «достучаться» до агента. Агент сам тянется к серверу с ключом. Это обращается почти все сетевые ограничения.

📋 Предварительные требования

  • ✅ Wazuh‑сервер установлен и работает.

  • ✅ Wazuh‑агент установлен на целевом хосте.

  • ✅ Сетевая связность от агента к серверу (порт 1514 и 1515).

  • ✅ Права sudo на обоих хостах.

🔌 Шаг 1: Проверка сетевой связности

На агенте

ping 10.10.10.10
nc -zv 10.10.10.10 1514   # основной порт
nc -zv 10.10.10.10 1515   # порт enrollment

На сервере Wazuh (опционально)

ping 172.10.10.10

Если пинг есть, а порт 1514/1515 недоступен — с вероятностью 99% виноват файервол на сервере:

sudo ufw status
sudo firewall-cmd --list-all

Пример открытия портов:

sudo ufw allow 1514/tcp
sudo ufw allow 1515/tcp

📝 Шаг 2: Определяем, каким IP сервер видит агента

Особенно важно при NAT.

На агенте

ip a
curl -s ifconfig.io   # внешний IP, если есть NAT

На сервере (смотрим логи подключений)

sudo tail -f /var/ossec/logs/ossec.log | grep "connection from"

Вы увидите реальный источник трафика. Именно этот IP (или any) нужно будет указать при регистрации.

➕ Шаг 3: Добавление агента на сервере

Подключаемся к серверу Wazuh.

Вариант А — с конкретным IP (прямая маршрутизация)

sudo /var/ossec/bin/manage_agents -a 172.10.10.10 -n ton-prxmx-01

Вариант Б — с any (рекомендуется для NAT, DHCP, динамических адресов)

sudo /var/ossec/bin/manage_agents -a any -n ton-prxmx-01

Вариант В — интерактивный режим (полный контроль)

sudo /var/ossec/bin/manage_agents

Меню:

  • A — добавить агента

  • Имя: ton-prxmx-01

  • IP: 172.10.10.10 или any

  • ID: оставить пустым

  • Y — подтвердить

🔑 Шаг 4: Получение ключа агента

Смотрим список агентов

sudo /var/ossec/bin/manage_agents -l

Вывод:

Available agents:
   ID: 021, Name: ton-prxmx-01, IP: 172.10.10.10

Извлекаем ключ

sudo /var/ossec/bin/manage_agents -e 021

На экран будет выведена длинная строка — скопируйте её полностью.

MDAxIHNydmstcHJ4bXgtMDEgMTcyLjIxLjQ0LjE4MSBxxxx...

⚠️ Ключ — это по сути пароль. Никому не показывайте, храните в защищённом месте.

💾 Шаг 5: Импорт ключа на агенте

Переходим на целевой хост.

Основной способ

sudo /var/ossec/bin/manage_agents -i <скопированный_ключ>

Система попросит подтверждение:

Confirm adding it? (y/n): y
Added.

Альтернативный способ (прямая запись в файл)

Если manage_agents по какой‑то причине не работает:

echo "MDAxIHNydmstcHJ4bXgtMDEgMTcyLjIxLjQ0LjE4MSBxxxx..." | sudo tee /var/ossec/etc/client.keys

🔄 Шаг 6: Перезапуск агента и проверка

На агенте

bash

sudo systemctl restart wazuh-agent
sudo systemctl status wazuh-agent
sudo tail -f /var/ossec/logs/ossec.log

Успешное подключение выглядит так:

INFO: Connected to enrollment service at 10.10.10.10:1515
INFO: Received response with agent key
INFO: Valid key received. Connecting to manager...
INFO: Connected to the server (10.10.10.10:1514/tcp).
INFO: (4102): Connected to the server.

На сервере

sudo /var/ossec/bin/agent_control -l
sudo /var/ossec/bin/agent_control -i 021

Агент должен быть в статусе Active.

🐛 Устранение типичных проблем (таблица для быстрого поиска)

Проблема

Скорее всего

Решение

SSL error (2). Connection refused

Порт 1514 закрыт

Проверить файервол на сервере

ERROR: Authentication error

Испорчен client.keys

Удалить файл, переимпортировать ключ

Агент в статусе Never connected

Неправильный IP сервера в конфиге агента

Проверить <address> в ossec.conf

Unable to connect to server

Агент не видит сервер

telnet <server> 1514 с агента

После перезагрузки агент отвалился

Прописано any, но IP изменился

Использовать any или статический IP

🎯 Шаг 7: Финальная проверка в веб‑интерфейсе

  1. Открываем Wazuh Dashboard

  2. Переходим в Agents → Agents

  3. Ищем ton-prxmx-01

  4. Статус — зелёный Active

Через 2–3 минуты появятся первые события: логи, auditd, системные вызовы.

📌 Полезные команды для жизни

# Сервер: удалить агента
sudo /var/ossec/bin/manage_agents -r 021

# Сервер: перезапустить менеджер
sudo systemctl restart wazuh-manager

# Агент: перезапуск
sudo systemctl restart wazuh-agent

# Агент: посмотреть, куда стучится
cat /var/ossec/etc/ossec.conf | grep -A 5 "<client>"

# Агент: версия
/var/ossec/bin/wazuh-agentd -V

🏁 Заключение

Ручная регистрация — не «костыль», а полноценный метод управления агентами в сложных средах.

  • ✔️ Работает через NAT

  • ✔️ Не требует открытых портов на агенте

  • ✔️ Позволяет точно локализовать проблему на каждом шаге

После подключения агент начнёт отдавать:

  • системные логи

  • события безопасности

  • контроль целостности (FIM)

  • данные об уязвимостях

  • метрики производительности

Всё это — в едином веб‑интерфейсе Wazuh, готовое к корреляции и реагированию.