LinuxOpen Source

Ubuntu 24.04 Üzerine Wazuh Kurulum ve Eski Sistemden Veri Taşıma Süreci

Muhammed Kerim Koç fotoğrafı Muhammed Kerim Koç Twitter'da takip edin Bir e-posta göndermek 1 hafta önceSon güncelleme: Temmuz 22, 2025
13 4 dakika okuma süresi

Bu makale, Ubuntu 24.04 LTS üzerinde Wazuh SIEM sisteminin kurulum sürecini ve mevcut bir Wazuh sunucusundan yeni sisteme agent yapılandırmaları, özel kurallar ve diğer kritik verilerin nasıl taşınacağını detaylı olarak anlatmaktadır.

Projenin Amacı ve Kapsamı

Bu çalışmada gerçekleştirilen ana hedefler:

  • Ubuntu 24.04 LTS üzerine Wazuh 4.12.0 kurulumu
  • Eski Wazuh 4.3.6 sisteminden yeni sisteme veri aktarımı
  • 6 adet agent’ın kesintisiz çalışabilmesi için gerekli yapılandırmaların taşınması
  • Özel güvenlik kuralları ve decoder’ların korunması

Sistem Altyapısı

Mevcut Sistem (Kaynak)

  • İşletim Sistemi: Ubuntu (Ubuntu 18.04 LTS)
  • Wazuh Versiyonu: 4.3.6
  • IP Adresi: 192.168.100.100
  • Agent Sayısı: 6 aktif agent

Hedef Sistem

  • İşletim Sistemi: Ubuntu 24.04 LTS
  • Wazuh Versiyonu: 4.12.0
  • IP Adresi: 192.168.100.101 → 192.168.100.100 (Geçiş sonrası)

Wazuh Hızlı Kurulumu

Ubuntu 24.04 üzerinde Wazuh’un en hızlı kurulum yöntemi installation assistant kullanılarak gerçekleştirildi:

# Sistem güncelleme
sudo apt update && sudo apt upgrade -y

# Wazuh installation assistant indirme ve çalıştırma
curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh
sudo bash ./wazuh-install.sh -a

Kurulum Sonrası Durum

Kurulum tamamlandıktan sonra sistem şu çıktıyı verdi:

INFO: --- Summary ---
INFO: You can access the web interface https://<WAZUH_DASHBOARD_IP_ADDRESS>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.

Sistem Durumu Kontrolü

Her iki sunucuda da sistem durumu kontrol edildi:

Eski Sunucu (192.168.100.100):

sudo /var/ossec/bin/wazuh-control info
  • Wazuh Version: 4.3.6
  • Wazuh Revision: 40321
  • Wazuh Type: server

Yeni Sunucu (192.168.100.101):

sudo /var/ossec/bin/wazuh-control info
  • Wazuh Version: 4.12.0
  • Wazuh Revision: rc1
  • Wazuh Type: server

Veri Taşıma Sürecinin Planlanması

Taşınacak Veriler

  1. Agent Yapılandırmaları
    • client.keys dosyası (agent anahtarları)
    • Agent grup yapılandırmaları (/var/ossec/etc/shared/)
  2. Özel Güvenlik Kuralları
    • local_rules.xml (502 byte)
    • local_decoder.xml (820 byte)
  3. Sistem Yapılandırmaları
    • ossec.conf ana yapılandırma dosyası (12,353 byte)
    • lists/ klasörü (özel CDB listeleri)

Agent Bilgileri

Sistemde toplam 6 agent tespit edildi:

  • ID: 001, Name: DB, IP: any
  • ID: 002, Name: APP, IP: any
  • ID: 003, Name: WEB, IP: any
  • ID: 004, Name: DC01, IP: any
  • ID: 005, Name: TEST, IP: any
  • ID: 006, Name: DB01, IP: any

Veri Yedekleme ve Aktarım Süreci

Adım 1: Eski Sunucuda Yedekleme

bash

# Yedekleme dizini oluşturma
mkdir -p ~/wazuh-backup-migration
cd ~/wazuh-backup-migration

# Kritik dosyaları yedekleme
sudo cp /var/ossec/etc/ossec.conf ./ossec.conf
sudo cp /var/ossec/etc/client.keys ./client.keys
sudo cp /var/ossec/etc/rules/local_rules.xml ./local_rules.xml
sudo cp /var/ossec/etc/decoders/local_decoder.xml ./local_decoder.xml
sudo cp -r /var/ossec/etc/shared/ ./shared/
sudo cp -r /var/ossec/etc/lists/ ./lists/

# Agent bilgilerini export etme
sudo /var/ossec/bin/manage_agents -l > ./agents_list.txt
sudo /var/ossec/bin/agent_control -l > ./agents_status.txt

Yedekleme Sonuçları

Yedekleme işlemi başarıyla tamamlandı ve şu dosyalar elde edildi:

total 52
-rw-r--r--  1 root root  4096 Jul 22 09:14 .
drwxr-xr-x 18 root root  4096 Jul 22 09:19 ..
-rw-------  1 root root   450 Jul 22 09:14 client.keys
-rw-r--r--  1 root root   411 Jul 22 09:14 agents_list.txt
-rw-r--r--  1 root root   450 Jul 22 09:14 agents_status.txt
-rw-r--r--  1 root root   820 Jul 22 09:14 local_decoder.xml
-rw-r--r--  1 root root   502 Jul 22 09:14 local_rules.xml
-rw-r--r-- 1 root root 12353 Jul 22 09:14 ossec.conf
drwxr-xr-x  6 root root  4096 Jul 22 09:14 shared

Adım 2: Veri Paketleme ve Aktarım

# Verileri tar ile paketleme
sudo tar -czf wazuh-backup-$(date +%Y%m%d).tar.gz wazuh-backup-migration/

# Yeni sunucuya aktarım
scp wazuh-backup-*.tar.gz wazuh@192.168.100.101:/root/

Yeni Sunucuda Veri Uygulama

Adım 3: Servislerin Durdurulması

sudo systemctl stop wazuh-manager
sudo systemctl stop filebeat  
sudo systemctl stop wazuh-dashboard
sudo systemctl stop wazuh-indexer

Adım 4: Client Keys Aktarımı

Agent’ların yeni sunucuda tanınabilmesi için kritik adım:

# Yedekten client.keys dosyasını geri yükleme
sudo cp ~/wazuh-backup-migration/client.keys /var/ossec/etc/
sudo chown root:wazuh /var/ossec/etc/client.keys
sudo chmod 640 /var/ossec/etc/client.keys

Client.keys İçeriği

Aktarılan agent anahtarları:

001 DB any c2b47d0ab5c254f760419dca5f237ec93009305c7f0c7a307ede4cdc2512
002 APP any 0aa76b0ec3942f0fcafd4b250776e01e3fe92ea458e12990ac49bf6cb3Ie6890
003 WEB any ca025a21dd10637639de86e6005de773b166ee17f39b7a0b76ce10a299e1bcc
004 DC01 any cac18fe7cf9d15b67b6c4bee74c4aca0ee9b212e947b567e0220ad41bcd9
005 TEST any d9de337911113a37c1cc427ad439f51efd3ea075d100a5681fdedf7b83eb4d08
006 DB01 any 8ee6ed92396c35d3f0fc625d5c2b19ae79a4d8e918703741168bcac3f328

Adım 5: Özel Kurallar ve Decoder Aktarımı

# Local rules aktarımı
sudo cp ~/wazuh-backup-migration/local_rules.xml /var/ossec/etc/rules/
sudo chown root:wazuh /var/ossec/etc/rules/local_rules.xml
sudo chmod 640 /var/ossec/etc/rules/local_rules.xml

# Local decoder aktarımı
sudo cp ~/wazuh-backup-migration/local_decoder.xml /var/ossec/etc/decoders/
sudo chown root:wazuh /var/ossec/etc/decoders/local_decoder.xml  
sudo chmod 640 /var/ossec/etc/decoders/local_decoder.xml

Adım 6: Agent Grup Yapılandırmalarının Aktarımı

# Shared klasörü yedekleme ve aktarım
sudo mv /var/ossec/etc/shared /var/ossec/etc/shared.backup
sudo cp -r ~/wazuh-backup-migration/shared /var/ossec/etc/
sudo chown -R root:wazuh /var/ossec/etc/shared/
sudo chmod -R 660 /var/ossec/etc/shared/*
sudo chmod -R 770 /var/ossec/etc/shared/

Agent Grup Yapılandırmaları

Aktarılan agent grupları:

  • default: Genel agent yapılandırmaları
  • GENEL-MERKEZ: Genel merkez sistemleri için özel yapılandırma
  • VERI-MERKEZI: Veri Merkezi sistemleri için yapılandırma

Yapılandırma Doğrulama ve Servis Başlatma

Yapılandırma Kontrolü

sudo /var/ossec/bin/wazuh-control configcheck

Sonuç: ✅ Başarılı – Hiçbir yapılandırma hatası tespit edilmedi.

Servislerin Başlatılması

# Sıralı servis başlatma
sudo systemctl start wazuh-indexer
sleep 30
sudo systemctl start wazuh-manager  
sleep 15
sudo systemctl start filebeat
sleep 10
sudo systemctl start wazuh-dashboard

Tüm servisler başarıyla başlatıldı ve Active durumunda çalışmaya başladı.

Agent Bağlantı Sorunu ve Çözümü

Sorunun Tespiti

Agent kontrolleri sonucunda:

sudo /var/ossec/bin/agent_control -l

Sonuç: Tüm agent’lar “Never connected” durumundaydı.

Kök Sebep: Agent’lar hâlâ eski sunucu IP’sine (192.168.100.100) bağlanmaya çalışıyor, ancak yeni sunucu 192.168.100.101 IP’sinde çalışıyor.

Çözüm: IP Adresi Değişikliği

En pratik çözüm olarak yeni sunucunun IP adresini eski sunucu IP’si ile değiştirme kararı alındı:

# Netplan yapılandırması
sudo nano /etc/netplan/00-installer-config.yaml

# IP değişikliği: 192.168.100.101 → 192.168.100.100
sudo netplan apply

Avantajlar:

  • ✅ Hiçbir agent’ta yapılandırma değişikliği gerekmez
  • ✅ Agent’lar otomatik olarak yeni sunucuya bağlanır
  • ✅ Kesintisiz geçiş sağlanır
  • ✅ DNS kayıtlarında değişiklik gerekmez

Sonuçlar ve Başarı Metrikleri

Başarıyla Aktarılan Bileşenler

BileşenDurumDetayAgent Anahtarları✅ Başarılı6 agent'ın tüm anahtarlarıÖzel Kurallar✅ Başarılılocal_rules.xml (502 byte)Özel Decoder'lar✅ Başarılılocal_decoder.xml (820 byte)Agent Grupları✅ Başarılıdefault, GENEL-MERKEZ, VERI-MERKEZI Ana Yapılandırma

Sistem Durumu

Yeni Sunucu Servisleri:

  • wazuh-manager: ✅ Active
  • wazuh-indexer: ✅ Active
  • wazuh-dashboard: ✅ Active
  • filebeat: ✅ Active

Agent Durumu:

  • Toplam 6 agent tanımlı
  • IP değişikliği sonrası bağlantı bekleniyor

Öğrenilen Dersler ve Öneriler

Teknik Öğrenimler

  1. Version Uyumluluğu: Wazuh 4.3.6’dan 4.12.0’a geçiş sorunsuz gerçekleşti
  2. Client.keys Kritikliği: Bu dosya olmadan agent’lar bağlanamaz
  3. IP Değişikliği Stratejisi: Agent yapılandırmalarını değiştirmek yerine sunucu IP’sini değiştirmek daha praktik
  4. Indexer Bağımlılığı: Geçmiş veri aktarımı için eski sistemin indexer’ının çalışır durumda olması gerekli

Gelecek Projeler İçin Öneriler

  1. Planlı Geçiş: Eski sistemi kapatmadan önce indexer servisinin çalıştığından emin olun
  2. Test Ortamı: Kritik sistemlerde mutlaka test ortamında deneme yapın
  3. Yedekleme Stratejisi: Sadece yapılandırma değil, düzenli veri yedeklemesi de planlayın
  4. Dokümantasyon: Özel kurallar ve yapılandırmaları dokümante edin

Sonuç

Ubuntu 24.04 üzerine Wazuh kurulumu ve veri aktarımı projesi başarıyla tamamlandı. Agent anahtarları, özel güvenlik kuralları ve sistem yapılandırmaları kesintisiz olarak yeni sisteme aktarıldı. IP adresi değişikliği stratejisi sayesinde, agent’larda herhangi bir yapılandırma değişikliği yapmadan sistem geçişi sağlandı.

Proje kapsamında 6 agent’ın tümü, özelleştirilmiş güvenlik kuralları ve üç farklı agent grubu başarıyla korundu. Geçmiş log verileri aktarılamasa da, yeni sistemde güvenlik izleme faaliyetleri kesintisiz devam edebilecek duruma geldi.

Bu deneyim, Wazuh sistemlerinin migrasyon süreçlerinde dikkat edilmesi gereken kritik noktaları ve en iyi pratikleri ortaya koymuş, gelecekteki benzer projelere rehberlik edecek değerli bilgiler sağlamıştır.

Etiketler
Muhammed Kerim Koç fotoğrafı Muhammed Kerim Koç Twitter'da takip edin Bir e-posta göndermek 1 hafta önceSon güncelleme: Temmuz 22, 2025
13 4 dakika okuma süresi
Muhammed Kerim Koç fotoğrafı

Muhammed Kerim Koç

1996 yılında Giresun Şebinkarahisarda dünyaya geldim. İlk ve orta öğretimi Şebinkarahisarda tamamladım. Liseyi Şebinkarahisar Anadolu Teknik ve Endüstri Meslek Lisesinde bitirdim. Üniversite için de Şebinkarahisar Teknik Bilimler Meslek Yüksek Okulunda Bilgisayar programcılığını okudum. Üniversite stajı için gelmiş olduğum özel bir firmada işe başladım. 5,5 yıl bu firmadan çalıştıktan sonra farklı bir sektör olan inşaat sektöründe Bilgi teknolojileri Uzmanı olarak 8 ay çalıştım. Daha sonra özel bir şirkette Sistem Network Sorumlusu olarak 4 ay çalıştıktan sonra proje sonlandırılmasından dolayı işten ayrıldım. Tekrar dan 5.5 yıl çalışmış olduğum firmaya Sistem ve Network Yöneticisi olarak geri döndüm ve çalışmaya başladım. Kendimi geliştirmek için Bilge Adam Akademi den Sistem Uzmanlığı eğitimi aldım. Sanallaştırma ve Ağ tarafında kendimi sürekli olarak geliştiriyorum.

İlgili Makaleler

PostgreSQL HA Cluster Test Scripti: Kapsamlı Analiz ve Kullanım Kılavuzu

Haziran 25, 2025

PostgreSQL Yüksek Erişilebilirlik Kümeleme Sistemi: Üç Düğümlü HA Cluster Kurulumu

Haziran 24, 2025

Linux’ta RAR dosyalarıyla çalışma

Ocak 3, 2025

Linux’ta alanınızın çoğunu hangi klasörlerin ve dosyaların kapladığını nasıl bulabilirsiniz?

Ocak 3, 2025
Başa dön tuşu