Giám Sát Bảo Mật 19 phút đọc

Triển Khai Wazuh SIEM Trên Linux: Từ Cài Đặt Đến Phản Ứng Tự Động (2026)

Hướng dẫn triển khai Wazuh SIEM trên Linux với ví dụ thực tế: cài đặt server/agent, cấu hình FIM whodata, Active Response chặn brute force SSH, phát hiện lỗ hổng CVE, tích hợp Suricata NIDS và best practices cho production.

Editorial Team

Tại Sao Wazuh Là Lựa Chọn Hàng Đầu Cho Giám Sát Bảo Mật Linux Trong 2026

Bạn đã có tường lửa nftables, đã bật SELinux ở chế độ enforcing, SSH được bảo vệ bằng FIDO2 — nhưng thành thật mà nói, vẫn thiếu một thứ quan trọng: khả năng phát hiện khi kẻ tấn công đã lọt vào bên trong. Tường lửa giỏi chặn ở cửa, nhưng nếu ai đó đã vào được nhà rồi thì sao? Đó chính xác là lý do bạn cần một hệ thống SIEM (Security Information and Event Management).

Wazuh là nền tảng bảo mật mã nguồn mở kết hợp SIEM và XDR, cho phép giám sát, phát hiện xâm nhập, phân tích mối đe dọa và phản ứng sự cố theo thời gian thực. Ban đầu nó chỉ là một nhánh của OSSEC — hệ thống phát hiện xâm nhập host-based (HIDS) khá nổi tiếng — nhưng giờ đã phát triển thành giải pháp toàn diện với hơn 20 triệu lượt tải. Con số đó nói lên khá nhiều điều.

Phiên bản mới nhất Wazuh 4.14.x (tính đến tháng 3/2026) cải tiến đáng kể về hiệu suất ruleset, sửa lỗi FIM whodata, và đặt nền tảng cho Wazuh 5.0 với engine hoàn toàn mới cùng tích hợp eBPF. Trong bài viết này, mình sẽ đi từ cài đặt cơ bản đến cấu hình nâng cao — tất cả đều kèm ví dụ thực tế mà bạn có thể áp dụng ngay trên máy chủ production.

Kiến Trúc Wazuh: Ba Thành Phần Cốt Lõi

Trước khi bắt tay vào cài đặt, hãy nắm kiến trúc ba tầng của Wazuh đã. Hiểu phần này sẽ giúp bạn troubleshoot dễ hơn rất nhiều sau này.

  • Wazuh Indexer: Công cụ tìm kiếm và phân tích dữ liệu toàn văn bản (fork của OpenSearch). Nó lập chỉ mục và lưu trữ cảnh báo bảo mật, hỗ trợ truy vấn nhanh khi cần điều tra sự cố.
  • Wazuh Server (Manager): Nhận và phân tích dữ liệu từ các Wazuh Agent, kích hoạt cảnh báo khi phát hiện mối đe dọa hoặc hành vi bất thường. Đây là "bộ não" của toàn bộ hệ thống.
  • Wazuh Dashboard: Giao diện web trực quan để phân tích và trực quan hóa dữ liệu bảo mật, với các dashboard sẵn có cho FIM, vulnerability detection, compliance, và nhiều module khác.

Hệ thống hoạt động theo mô hình Agent/Server: Wazuh Agent được cài trên các endpoint (máy chủ Linux, Windows, container) để thu thập log và sự kiện bảo mật, rồi gửi về Wazuh Server phân tích. Nhờ mô hình này, bạn có thể giám sát tập trung hàng trăm, thậm chí hàng nghìn endpoint từ một điểm duy nhất.

Cài Đặt Wazuh Server: Quickstart Trên Ubuntu/Debian

Yêu cầu hệ thống tối thiểu

Với môi trường production nhỏ (dưới 50 agent), bạn cần tối thiểu:

  • CPU: 4 cores
  • RAM: 8 GB (khuyến nghị 16 GB)
  • Ổ đĩa: 50 GB SSD (dung lượng phụ thuộc vào thời gian lưu trữ log)
  • OS: Ubuntu 22.04/24.04 LTS, Debian 12, RHEL 9, AlmaLinux 9, Rocky Linux 9

Lưu ý quan trọng: Nếu bạn cần giám sát trên 500 agent, hãy triển khai multi-node với Wazuh Indexer cluster riêng biệt để đảm bảo tính sẵn sàng cao (HA). Kiến trúc all-in-one chỉ nên dùng cho lab, staging hoặc môi trường nhỏ thôi.

Cài đặt All-in-One với Wazuh Installation Assistant

Tin vui là Wazuh có script cài đặt tự động, triển khai toàn bộ stack chỉ trong một lệnh duy nhất:

# Cập nhật hệ thống trước
sudo apt-get update && sudo apt-get upgrade -y

# Tải và chạy Wazuh Installation Assistant
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh
sudo bash ./wazuh-install.sh -a

Script này sẽ tự động lo hết mọi thứ cho bạn:

  1. Cài đặt đầy đủ các gói phụ thuộc cần thiết
  2. Tải xuống và cấu hình Wazuh Manager, Wazuh Indexer, Filebeat và Dashboard
  3. Tạo chứng chỉ SSL để mã hóa toàn bộ kết nối
  4. Khởi động tất cả dịch vụ liên quan

Sau khi hoàn tất, terminal sẽ hiển thị thông tin đăng nhập mặc định (username và password). Lưu lại ngay lập tức nhé — và nhớ đổi mật khẩu sau khi đăng nhập lần đầu:

# Truy cập Dashboard qua trình duyệt
# https://<wazuh-server-ip>:443

# Kiểm tra trạng thái dịch vụ
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboard

# Xem log nếu gặp sự cố
sudo tail -f /var/ossec/logs/ossec.log

Thiết lập IP tĩnh — Bước không được bỏ qua

Đây là bài học mà mình (và nhiều người khác) đã học theo cách khó khăn nhất: luôn cấu hình IP tĩnh cho Wazuh Server. Nếu dùng DHCP và IP thay đổi, toàn bộ agent sẽ mất kết nối vì chúng được cấu hình để gửi dữ liệu đến một IP cố định. Đơn giản nhưng rất dễ quên.

# Cấu hình IP tĩnh trên Ubuntu (Netplan)
sudo nano /etc/netplan/01-netcfg.yaml

# Ví dụ nội dung:
# network:
#   version: 2
#   ethernets:
#     eth0:
#       addresses:
#         - 192.168.1.100/24
#       routes:
#         - to: default
#           via: 192.168.1.1
#       nameservers:
#         addresses: [8.8.8.8, 1.1.1.1]

sudo netplan apply

Triển Khai Wazuh Agent Trên Các Endpoint Linux

OK, server đã chạy ổn rồi. Giờ đến phần cài agent trên các máy chủ cần giám sát.

Cài đặt agent trên Ubuntu/Debian

# Thêm repository GPG key và source
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && sudo chmod 644 /usr/share/keyrings/wazuh.gpg

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list

# Cài đặt agent với WAZUH_MANAGER chỉ định IP server
sudo apt-get update
sudo WAZUH_MANAGER="192.168.1.100" apt-get install wazuh-agent -y

# Khởi động và kích hoạt agent
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

# Kiểm tra kết nối
sudo systemctl status wazuh-agent

Cài đặt agent trên RHEL/AlmaLinux/Rocky Linux

# Thêm repository
sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

cat << EOF | sudo tee /etc/yum.repos.d/wazuh.repo
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

# Cài đặt agent
sudo WAZUH_MANAGER="192.168.1.100" yum install wazuh-agent -y

# Khởi động
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Sau khi agent kết nối thành công, bạn sẽ thấy endpoint mới xuất hiện trên Wazuh Dashboard trong mục Endpoints Summary. Ngay từ đầu, agent đã tự động thu thập log hệ thống (/var/log/syslog, /var/log/auth.log) và chạy Security Configuration Assessment (SCA) — không cần cấu hình thêm gì cả.

Giám Sát Tính Toàn Vẹn Tệp (FIM) — Phát Hiện Thay Đổi Bất Thường

Nói thật, File Integrity Monitoring (FIM) là một trong những lý do chính mình khuyên mọi người dùng Wazuh. Nó theo dõi sự thay đổi, tạo mới hoặc xóa tệp trong các thư mục bạn chỉ định và tạo cảnh báo ngay khi phát hiện bất thường.

Tại sao điều này quan trọng? Vì kẻ tấn công sau khi xâm nhập thường sẽ sửa đổi tệp cấu hình, cài backdoor, hoặc thay đổi binary hệ thống. FIM giúp bạn bắt được những hành vi đó.

Ba chế độ giám sát FIM

  • Scheduled (Lịch trình): Quét định kỳ (mặc định 12 giờ/lần). Tốn ít tài nguyên nhất, phù hợp cho các tệp ít thay đổi.
  • Real-time (Thời gian thực): Sử dụng inotify trên Linux để phát hiện thay đổi ngay lập tức. Lý tưởng cho thư mục cấu hình quan trọng.
  • Who-data (Ai đã thay đổi): Dùng Auditd hoặc eBPF để xác định chính xác tiến trình và người dùng nào thực hiện thay đổi — cực kỳ hữu ích khi cần điều tra sự cố.

Cấu hình FIM trên agent

Chỉnh sửa tệp /var/ossec/etc/ossec.conf trên agent (hoặc cấu hình tập trung qua agent.conf trên server). Đây là cấu hình mình thường dùng:

<syscheck>
  <!-- Tần suất quét scheduled (giây) - 6 giờ -->
  <frequency>21600</frequency>

  <!-- Giám sát thư mục cấu hình quan trọng - Real-time + Who-data -->
  <directories check_all="yes" whodata="yes">/etc</directories>
  <directories check_all="yes" whodata="yes">/usr/bin</directories>
  <directories check_all="yes" whodata="yes">/usr/sbin</directories>

  <!-- Giám sát thư mục web - Real-time + báo cáo nội dung thay đổi -->
  <directories check_all="yes" realtime="yes" report_changes="yes">/var/www</directories>

  <!-- Giám sát SSH keys -->
  <directories check_all="yes" whodata="yes">/root/.ssh</directories>
  <directories check_all="yes" whodata="yes">/home/*/.ssh</directories>

  <!-- Loại trừ tệp log và tạm thời để tránh cảnh báo nhiễu -->
  <ignore>/etc/mtab</ignore>
  <ignore>/etc/resolv.conf</ignore>
  <ignore type="sregex">\.swp$</ignore>
</syscheck>

Viết custom rule FIM

Wazuh đã có sẵn các rule FIM mặc định, nhưng bạn nên tạo thêm rule tùy chỉnh cho các tệp nhạy cảm riêng của mình. Thêm vào /var/ossec/etc/rules/local_rules.xml trên Wazuh Server:

<group name="syscheck,custom_fim,">
  <!-- Cảnh báo mức cao khi tệp SSH config bị thay đổi -->
  <rule id="100300" level="12">
    <if_sid>550</if_sid>
    <field name="file">/etc/ssh/sshd_config</field>
    <description>CẢNH BÁO: Tệp cấu hình SSH daemon đã bị sửa đổi</description>
    <group>pci_dss_11.5,nist_800_53_SI.7,</group>
  </rule>

  <!-- Cảnh báo khi tệp mới xuất hiện trong /usr/bin -->
  <rule id="100301" level="10">
    <if_sid>554</if_sid>
    <field name="file">/usr/bin</field>
    <description>Tệp binary mới được thêm vào /usr/bin — kiểm tra ngay</description>
  </rule>

  <!-- Cảnh báo nghiêm trọng khi tệp sudoers bị sửa -->
  <rule id="100302" level="14">
    <if_sid>550</if_sid>
    <field name="file">/etc/sudoers</field>
    <description>NGHIÊM TRỌNG: Tệp sudoers đã bị thay đổi — nghi ngờ leo thang đặc quyền</description>
  </rule>
</group>

Sau khi thêm rule, restart lại Wazuh Manager:

sudo systemctl restart wazuh-manager

Active Response — Tự Động Chặn Tấn Công Brute Force SSH

Đây là phần mình thích nhất. Active Response cho phép Wazuh tự động phản ứng khi phát hiện mối đe dọa — thay vì chỉ gửi cảnh báo rồi ngồi chờ admin xử lý. Nó có thể chủ động chặn IP tấn công, cách ly tệp nghi ngờ, hoặc chạy bất kỳ script tùy chỉnh nào bạn muốn.

Cấu hình chặn brute force SSH

Kịch bản phổ biến nhất là thế này: kẻ tấn công thử đăng nhập SSH nhiều lần, thất bại liên tục, Wazuh phát hiện pattern đó và tự động chặn IP bằng iptables. Đơn giản mà hiệu quả.

Bước 1 — Kiểm tra xem command block firewall-drop đã tồn tại trong /var/ossec/etc/ossec.conf trên Wazuh Server chưa:

<command>
  <name>firewall-drop</name>
  <executable>firewall-drop</executable>
  <timeout_allowed>yes</timeout_allowed>
</command>

Bước 2 — Thêm block active-response vào cùng tệp cấu hình:

<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>5763</rules_id>
  <timeout>600</timeout>
</active-response>

Giải thích nhanh các tham số:

  • location: local — Script chạy trên chính endpoint bị tấn công
  • rules_id: 5763 — Rule ID cho "SSHD brute force trying to get access to the system" (kích hoạt sau 8 lần đăng nhập thất bại)
  • timeout: 600 — Chặn IP trong 600 giây (10 phút). Bạn có thể tăng lên tùy theo chính sách bảo mật của mình

Bước 3 — Restart Wazuh Manager và kiểm tra:

sudo systemctl restart wazuh-manager

# Xem log active response trên endpoint
sudo tail -f /var/ossec/logs/active-responses.log

# Mô phỏng tấn công brute force để test (từ máy khác)
# CẢNH BÁO: Chỉ thực hiện trong môi trường lab
# hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.200

Khi rule 5763 kích hoạt, bạn sẽ thấy cảnh báo trên Dashboard kèm theo cảnh báo Active Response (rule ID 651) xác nhận IP đã bị chặn. Script firewall-drop (nằm tại /var/ossec/active-response/bin/) tự động thêm rule iptables để drop toàn bộ traffic từ IP tấn công. Khá là thỏa mãn khi thấy nó hoạt động trong thực tế.

Mở rộng: Tạo Active Response tùy chỉnh

Ngoài firewall-drop có sẵn, bạn hoàn toàn có thể tạo script phản ứng riêng. Ví dụ dưới đây là script gửi thông báo qua Telegram mỗi khi phát hiện tấn công — rất tiện để nhận alert trên điện thoại:

#!/bin/bash
# /var/ossec/active-response/bin/notify-telegram.sh

LOCAL=$(dirname $0)
cd $LOCAL
cd ../

# Đọc thông tin alert từ stdin
read INPUT_JSON

ALERT_MSG=$(echo $INPUT_JSON | jq -r ".parameters.alert.rule.description")
SRC_IP=$(echo $INPUT_JSON | jq -r ".parameters.alert.data.srcip")
AGENT=$(echo $INPUT_JSON | jq -r ".parameters.alert.agent.name")

TELEGRAM_BOT_TOKEN="YOUR_BOT_TOKEN"
TELEGRAM_CHAT_ID="YOUR_CHAT_ID"

curl -s -X POST "https://api.telegram.org/bot${TELEGRAM_BOT_TOKEN}/sendMessage" \
  -d chat_id="${TELEGRAM_CHAT_ID}" \
  -d text="Wazuh Alert: ${ALERT_MSG} | Source: ${SRC_IP} | Agent: ${AGENT}" \
  -d parse_mode="HTML"

exit 0;
# Phân quyền cho script
sudo chmod 750 /var/ossec/active-response/bin/notify-telegram.sh
sudo chown root:wazuh /var/ossec/active-response/bin/notify-telegram.sh

Phát Hiện Lỗ Hổng Bảo Mật (Vulnerability Detection)

Module Vulnerability Detection quét các gói phần mềm đã cài trên endpoint và so sánh với cơ sở dữ liệu CVE (Common Vulnerabilities and Exposures) từ nhiều nguồn uy tín: NVD, Red Hat, Canonical, Debian, Amazon Linux, Microsoft và CISA.

Cách hoạt động

Module Syscollector trên agent thu thập thông tin inventory (danh sách gói, phiên bản, kiến trúc) rồi gửi về Wazuh Server. Server dùng dữ liệu từ Wazuh Cyber Threat Intelligence (CTI) để đối chiếu và phát hiện các gói có phiên bản nằm trong phạm vi bị ảnh hưởng bởi CVE.

Từ phiên bản 4.14, module này được bật mặc định — bạn không cần cấu hình gì thêm. Nó tự động tạo cảnh báo khi phát hiện lỗ hổng mới hoặc khi lỗ hổng cũ đã được vá. Nếu muốn tùy chỉnh, chỉnh trong /var/ossec/etc/ossec.conf trên server:

<vulnerability-detection>
  <enabled>yes</enabled>
  <index-status>yes</index-status>
  <feed-update-interval>60m</feed-update-interval>
</vulnerability-detection>

Xem kết quả trên Dashboard

Truy cập Wazuh Dashboard, chọn Vulnerability Detection, rồi Inventory để xem danh sách lỗ hổng theo từng agent. Kết quả được phân loại theo mức độ nghiêm trọng (Critical, High, Medium, Low) kèm CVE ID, gói bị ảnh hưởng, và phiên bản cần nâng cấp.

Một điểm mình rất thích: Wazuh cũng phát hiện khi lỗ hổng đã được khắc phục. Sau khi bạn chạy apt upgrade, các CVE tương ứng tự động chuyển sang trạng thái "resolved". Rất tiện để theo dõi tiến độ vá lỗi.

Tích Hợp Suricata: Giám Sát Lưu Lượng Mạng (NIDS)

Wazuh giám sát chủ yếu ở cấp host (HIDS), và thật sự thì chỉ HIDS thôi là chưa đủ. Để có tầm nhìn toàn diện hơn, bạn nên tích hợp thêm Suricata — hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) — để phân tích lưu lượng network và phát hiện các mối đe dọa mà host-based monitoring không thể thấy được.

Cài đặt Suricata trên endpoint

# Ubuntu/Debian
sudo add-apt-repository ppa:oisf/suricata-stable -y
sudo apt-get update
sudo apt-get install suricata -y

# Tải ruleset Emerging Threats
sudo suricata-update

# Xác định network interface
ip addr show
# Giả sử interface là eth0

# Cấu hình Suricata
sudo nano /etc/suricata/suricata.yaml
# Thay đổi:
# af-packet:
#   - interface: eth0   # Interface mạng của bạn
# default-rule-path: /var/lib/suricata/rules

# Khởi động Suricata
sudo systemctl enable suricata
sudo systemctl start suricata

# Kiểm tra Suricata đang chạy
sudo systemctl status suricata
sudo tail -f /var/log/suricata/eve.json

Kết nối Suricata với Wazuh Agent

Thêm block sau vào /var/ossec/etc/ossec.conf trên agent (máy chạy Suricata):

<localfile>
  <log_format>json</log_format>
  <location>/var/log/suricata/eve.json</location>
</localfile>
# Khởi động lại agent
sudo systemctl restart wazuh-agent

Wazuh sẽ tự động đọc và phân tích log Suricata dạng JSON, rồi áp dụng ruleset có sẵn để tạo cảnh báo. Bạn xem được cảnh báo Suricata trên Dashboard trong mục Security Events với rule group suricata.

Các loại tấn công mà combo Suricata + Wazuh phát hiện được: Nmap scan, SYN flood, DNS tunneling, exploit attempts dựa trên signature, và lưu lượng C2 (command and control). Kha khá đầy đủ cho hầu hết các use case.

Giám Sát Tuân Thủ (Compliance Monitoring)

Nếu tổ chức bạn cần đáp ứng các tiêu chuẩn bảo mật, Wazuh tích hợp sẵn các framework tuân thủ phổ biến:

  • PCI DSS: Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán — Wazuh ánh xạ rule với các requirement cụ thể (11.5 cho FIM, 10.x cho log monitoring)
  • HIPAA: Bảo vệ thông tin y tế — giám sát truy cập và thay đổi dữ liệu nhạy cảm
  • NIST 800-53: Framework bảo mật của chính phủ Mỹ — hỗ trợ mapping chi tiết cho các control SI.7, AU.6, và nhiều control khác
  • GDPR: Bảo vệ dữ liệu cá nhân theo quy định châu Âu
  • CIS Benchmarks: Đánh giá cấu hình bảo mật qua module Security Configuration Assessment (SCA)

Dashboard Compliance cho bạn cái nhìn tổng quan về trạng thái tuân thủ của từng agent, với tỷ lệ phần trăm pass/fail cho mỗi requirement. Nói ngắn gọn, đây là công cụ vô giá khi bạn cần chuẩn bị cho audit.

Thực Hành Tốt Nhất Khi Vận Hành Wazuh Trong Production

1. Tinh chỉnh rule để giảm false positive

Wazuh đi kèm hơn 4.000 rule mặc định. Trong môi trường thực tế, bạn sẽ nhận được khá nhiều cảnh báo — và không phải tất cả đều là mối đe dọa thật. Lời khuyên của mình: bắt đầu bằng cách chỉ tập trung vào các rule level 10+ rồi mở rộng dần.

# Xem rule đang kích hoạt nhiều nhất
# Trên Dashboard: Security Events → chọn khoảng thời gian → sắp xếp theo Rule ID

# Tắt rule gây nhiễu bằng cách thêm vào local_rules.xml
<rule id="100400" level="0">
  <if_sid>5502</if_sid>
  <description>Tắt cảnh báo login thành công từ IP nội bộ</description>
  <srcip>192.168.1.0/24</srcip>
</rule>

2. Cấu hình log rotation

Wazuh tạo ra rất nhiều log và alert. Nếu không quản lý dung lượng, ổ đĩa sẽ đầy nhanh hơn bạn tưởng:

# Kiểm tra dung lượng index trên Wazuh Indexer
curl -s -k -u admin:<password> https://localhost:9200/_cat/indices?v

# Cấu hình ISM (Index State Management) để tự động xóa index cũ
# Dashboard → Index Management → Index State Management Policies

3. Bảo vệ chính Wazuh Server

Đừng quên bảo vệ "người canh gác" của bạn:

  • Đặt Wazuh Server trong mạng quản trị riêng biệt, không truy cập trực tiếp từ internet
  • Giới hạn truy cập Dashboard qua VPN hoặc allowlist IP
  • Đổi mật khẩu mặc định ngay sau cài đặt
  • HTTPS cho tất cả kết nối (mặc định đã có nếu dùng Installation Assistant)
  • Cập nhật Wazuh thường xuyên — phiên bản 4.14.3 (tháng 2/2026) và 4.14.4 đã sửa nhiều lỗi quan trọng

4. Quản lý agent theo group

Thay vì mất thời gian cấu hình từng agent riêng lẻ, hãy tạo group và quản lý tập trung. Ví dụ bạn có 20 web server, chỉ cần cấu hình một lần cho cả group:

# Tạo group cho web server
/var/ossec/bin/agent_groups -a -g webservers

# Thêm agent vào group
/var/ossec/bin/agent_groups -a -i 001 -g webservers

# Cấu hình chung cho group
# /var/ossec/etc/shared/webservers/agent.conf

Câu Hỏi Thường Gặp

Wazuh có miễn phí không? Có giới hạn số lượng agent không?

Có, Wazuh hoàn toàn miễn phí và mã nguồn mở theo giấy phép GPLv2. Không có giới hạn về số lượng agent — bạn có thể giám sát hàng nghìn endpoint mà không phải trả phí license. Tuy nhiên với quy mô lớn, bạn cần đầu tư vào hạ tầng phần cứng (CPU, RAM, ổ đĩa) và triển khai kiến trúc multi-node.

Wazuh và Fail2Ban có thay thế nhau được không?

Không hoàn toàn. Fail2Ban chuyên về chặn IP dựa trên pattern log (chủ yếu SSH brute force) và hoạt động ở cấp host đơn lẻ. Wazuh thì cung cấp tính năng Active Response tương tự nhưng trong bối cảnh rộng hơn nhiều — SIEM, FIM, vulnerability detection, compliance monitoring, và tương quan sự kiện giữa nhiều endpoint. Nhiều tổ chức dùng cả hai trong giai đoạn chuyển đổi, nhưng về lâu dài Wazuh có thể thay thế hoàn toàn Fail2Ban.

Cần bao nhiêu tài nguyên để chạy Wazuh Server?

Môi trường nhỏ (dưới 50 agent): 4 cores CPU, 8 GB RAM, 50 GB SSD. Môi trường trung bình (50-200 agent): 8 cores, 16 GB RAM, 200 GB SSD. Môi trường lớn (200+ agent): triển khai multi-node với cluster Wazuh Indexer riêng biệt, mỗi node tối thiểu 8 cores và 32 GB RAM.

Wazuh 5.0 có gì mới so với 4.x?

Wazuh 5.0 (chưa ra bản stable tính đến tháng 3/2026) sẽ mang đến kiến trúc engine hoàn toàn mới thay thế analysisd, tích hợp eBPF cho FIM với độ trễ gần bằng không, mở rộng Cyber Threat Intelligence (CTI) với Indicators of Compromise (IOCs), và yêu cầu kiến trúc multi-node cho production. Nhưng hiện tại 4.14.x vẫn rất ổn định và là lựa chọn được khuyến nghị cho production.

Có thể tích hợp Wazuh với các công cụ khác không?

Hoàn toàn được. Wazuh hỗ trợ tích hợp với rất nhiều công cụ: Suricata/Snort (NIDS), VirusTotal (phân tích malware), YARA (phát hiện mã độc qua FIM), Slack/Telegram/email (thông báo), TheHive (incident response), MISP (threat intelligence), và Shuffle (SOAR automation). Khả năng mở rộng này biến Wazuh thành trung tâm điều phối bảo mật cho toàn bộ hạ tầng của bạn.

Về Tác Giả Editorial Team

Our team of expert writers and editors.