ITSkillsCenter
الأمن السيبراني

نشر Wazuh على VPS Hetzner: درس كامل 2026

2 min de lecture

📍 المقالة الرئيسية للمجموعة: Wazuh 2026: الدليل الكامل.

ساعة لتثبيت Wazuh كاملاً: Manager + OpenSearch + Dashboard على Hetzner CCX23. هذه الطريقة موثقة عند عدة شركات فرنكوفونية. النتيجة: نظام SIEM enterprise-grade يحمي بنيتك التحتية لـ 28 يورو/شهرياً فقط، مقابل 15,000+ USD/سنة لحل تجاري مكافئ.

المتطلبات

Hetzner CCX23 minimum (4 vCPU، 16 جيجابايت RAM، 160 جيجابايت NVMe). 16 جيجابايت RAM ضرورية لـ OpenSearch (8 جيجابايت heap minimum) + Manager + Dashboard. Ubuntu 22.04 LTS أو Debian 12. اسم نطاق DNS: siem.votre-entreprise.com. المستوى المتوقع: متقدم. الوقت المقدر: 60 إلى 90 دقيقة.

الخطوة 1 — تثبيت all-in-one

Wazuh يقدم سكربت تثبيت رسمي يجمع كل المكونات في خادم واحد. هذا التثبيت all-in-one مثالي لـ < 200 endpoints. للحجم الأكبر، يلزم cluster مع عدة Manager وعدة OpenSearch nodes. السكربت ينشر Wazuh Manager + Indexer (OpenSearch) + Dashboard مع شهادات auto-signed جاهزة. احسب 15-20 دقيقة لاكتمال التثبيت.

curl -sO https://packages.wazuh.com/4.10/wazuh-install.sh
bash ./wazuh-install.sh -a -i

الخطوة 2 — استرداد credentials admin

السكربت يولد تلقائياً مستخدم admin مع password عشوائي. هذه الـ credentials تخزَّن في ملف tar محلي. مهم: نسخها فوراً إلى Vaultwarden في collection «Infrastructure» قبل أن تنساها أو يحذفها أحد.

tar -xvf wazuh-install-files.tar
cat wazuh-install-files/wazuh-passwords.txt
# سجل password admin لـ Dashboard

الخطوة 3 — الوصول إلى Dashboard

افتح https://siem.votre-entreprise.com:443. Login: admin / password المنسوخ. Dashboard يحمل في 30 ثانية. الواجهة الأولى تعرض Overview مع إحصائيات حول الـ agents المتصلة، التنبيهات الأخيرة، حالة الـ vulnerability scanning. هذه الشاشة هي القيادة المركزية لعمليات الأمان لديك.

الخطوة 4 — استبدال شهادة self-signed بـ Let’s Encrypt

Caddy في الواجهة لـ HTTPS عام نظيف. الشهادة الافتراضية self-signed تعمل لكن تولد تحذيرات في المتصفحات. Caddy يحل هذه المشكلة بشهادة Let’s Encrypt تلقائية، مع توجيه TLS داخلي إلى Wazuh Dashboard.

siem.votre-entreprise.com {
  reverse_proxy https://localhost:443 {
    transport http {
      tls_insecure_skip_verify
    }
  }
}

الخطوة 5 — التحقق من الخدمات

كل المكونات الثلاث يجب أن تكون في حالة active (running). إذا كان أحدها معطلاً، تحقق من journalctl لاكتشاف السبب. عادة، المشكلة تكون في تكوين JVM لـ OpenSearch أو منافذ متضاربة.

systemctl status wazuh-manager
systemctl status wazuh-indexer
systemctl status wazuh-dashboard

الخطوة 6 — تخصيص RAM لـ OpenSearch

OpenSearch يدير الفهرس بكفاءة فقط مع heap كافية. القاعدة الذهبية: نصف RAM المتاح، بحد أقصى 32 جيجابايت. لـ CCX23 (16 جيجابايت RAM)، 8 جيجابايت لـ heap مثالية.

nano /etc/wazuh-indexer/jvm.options
# -Xms8g
# -Xmx8g

systemctl restart wazuh-indexer

الخطوة 7 — أول agent (اختبار من الـ Manager نفسه)

أبسط طريقة لاختبار التثبيت هي تثبيت agent على نفس Manager. هذا يجنبك تكوين شبكة معقد ويتيح التحقق السريع من أن الـ agent يتصل ويرسل البيانات بشكل صحيح.

WAZUH_MANAGER='siem.votre-entreprise.com' \
  apt install -y wazuh-agent
systemctl daemon-reload
systemctl enable --now wazuh-agent

على Dashboard → Agents: agent يجب أن يظهر «Active» في غضون دقيقة واحدة.

الخطوة 8 — تكوين تنبيهات Slack/Mattermost

تكامل التنبيهات أساسي للاستجابة السريعة. Wazuh يدعم أصلياً Slack، PagerDuty، email، وأي webhook. هذا التكوين يرسل التنبيهات بمستوى 10+ (متوسط+) إلى قناة Mattermost #alerts.

nano /var/ossec/etc/ossec.conf
<integration>
  <name>slack</name>
  <hook_url>https://chat.votre-entreprise.com/hooks/abc123</hook_url>
  <level>10</level>
  <alert_format>json</alert_format>
</integration>
systemctl restart wazuh-manager

الخطوة 9 — النسخ الاحتياطية

السلامة تتطلب نسخاً احتياطية منتظمة لكل من تكوين Wazuh وفهرس OpenSearch. الفهرس يحتوي على تاريخ التنبيهات والاستفسارات — فقدانه يعني فقدان رؤية الأمان التاريخية.

# Cron يومي
tar czf /backup/wazuh-config-$(date +%F).tar.gz \
  /var/ossec/etc /etc/wazuh-indexer /etc/wazuh-dashboard

# OpenSearch snapshot
curl -X PUT "https://localhost:9200/_snapshot/wazuh_backup" -k -u admin:PASSWORD -H 'Content-Type: application/json' -d'{"type":"fs","settings":{"location":"/backup/opensearch"}}'

الأخطاء الشائعة

الخطأ السبب الحل
OpenSearch OOM RAM heap سيئة التخصيص jvm.options 8g min
Dashboard 502 Wazuh Indexer غير جاهز انتظر 5 دقائق بعد البدء
Agent disconnect منفذ 1514 محظور UFW allow 1514/tcp
Vulnerability feed مفقود Internet خارج محظور UFW allow outbound 443
Disk ممتلئ بالسجلات retention غير مكوَّنة OpenSearch ILM 30 يوماً

التكيف مع السياق المغاربي وغرب إفريقيا

ثلاث توضيحات. التكلفة. CCX23 28 يورو/شهرياً لـ SIEM enterprise-grade. هذا أقل من تكلفة licence Splunk شهرياً لـ 1 GB واحد. Datacenter Falkenstein. زمن استجابة مقبول من غرب إفريقيا (95-130 ميلي ثانية). Audit ARTCI/CDP. صدِّر تقارير CSV شهرية عبر Dashboard. هذا يبسط عملية التدقيق ويوفر دليلاً للمنظمين.

دروس الإخوة في المجموعة

الأسئلة المتكررة

Cluster متعدد العقد؟ ممكن لـ > 200 endpoints. وثائق Wazuh cluster.

التحديثات؟ apt upgrade wazuh-manager. اقرأ changelog قبل التحديثات الكبرى.

سعة 100 endpoints؟ CCX23 مريح. CCX33 لـ 500.

تأثير الأداء agents؟ < 100 ميغابايت RAM، < 5% CPU.

دعم مدفوع؟ Wazuh يقدم دعماً يبدأ من 2 USD/endpoint/شهرياً.

للاستزادة

#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité