Wazuhを4.2から4.3にアップデートするに当たり、結構破壊的な変更があった。

1. 実行ユーザーがwazuhユーザーへ
2. ODFE版を使っている場合は、4.2までしか今の所Dockerイメージの提供がないので、4.3にするならばイメージの変更及び、ElasitcsearchからOpensearchへ変更が必要
3. Opensearch Dashboardは認証が標準でDockerイメージに入っている

Wazuhが何かという方はこちら。

https://atmarkit.itmedia.co.jp/ait/articles/1902/18/news012.html

実行ユーザーがwazuhユーザーへ

4.2系まではossecユーザーが実行ユーザーであるプロセスがほとんどだったが、4.3からはwazuhユーザーへ変更されているので、chownなりchmodが必要だった。僕はentrypointで各種パーミッションを設定するように作り込んでいるので、そこでよしなにやった。

ElasticsearchからOpensearchへ

これはDockerイメージ差し替えるだけではうまくいかず、下記のような大人の小手先のテクニックを利用してインデックスの移行が必要だった。

curl -XGET "localhost:9200/_cat/shards?h=index"|sort|uniq|grep wazuh | while read line
do
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local:9200/$line --type=mapping
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local :9200/$line --type=data --limit 10000
done

またalertsインデックスのテンプレートは別途作成する必要がある。

https://documentation.wazuh.com/current/user-manual/elasticsearch/configure-indices.html

僕はES 7.17系からの移行だったが思いの外すんなりいってラッキーだったかもしれない。

Opensearch Dashboardは認証が標準でDockerイメージに入っている

いわゆるkibanaのOpensearch版なのだが、他で認証していて、認証を無効にしたい場合は下記のようにイメージをビルドする必要がある。

https://opensearch.org/docs/2.0/security-plugin/configuration/disable/

最後に

Wazuh 4.3、APIも結構変更があって、脆弱性情報などの管理もしやすくなっているので、可能であればバージョンアップして行くのがいいと思う。