Wazuh: Registro Manual de Agentes - Guia Passo a Passo para Redes Complexas
Descubra como registrar manualmente agentes Wazuh em ambientes de rede complexos, superando desafios como NAT, VLANs e firewalls. Este guia detalhado oferece um passo a passo para garantir a conectividade e solucionar problemas comuns.
MundiX News·13 de maio de 2026·6 min de leitura·👁 14 views
A funcionalidade de registro automático de agentes através da interface web do Wazuh é, sem dúvida, conveniente. No entanto, sua eficácia pode ser comprometida em cenários de rede que envolvem NAT, VLANs, DNS com split-horizon ou firewalls corporativos com regras complexas. Nesses ambientes, a ferramenta manage_agents emerge como o único método confiável. Este artigo detalha o processo de registro manual de um agente, a obtenção da chave de registro, sua importação e a solução de erros de conexão típicos.
Por que optar pelo registro manual quando existe o automático?
O Wazuh oferece um mecanismo de registro automático (enrollment) nativo, acessível via interface web ou API, que simplifica o processo: basta informar o IP do agente e obter um comando para execução. Contudo, na prática, este método encontra obstáculos em situações como:
NAT e tradução de endereços: O servidor visualiza o agente com um IP, enquanto o agente se percebe com outro.
Roteamento via jump-hosts: O tráfego não segue uma rota direta.
VLANs isoladas: Requisições de broadcast não conseguem transitar entre segmentos.
IPs temporários ou flutuantes: O endereço IP do agente muda com frequência.
Políticas de segurança restritivas: Chamadas de API de saída são bloqueadas ou a interface web não é acessível.
Em tais condições, o manage_agents deixa de ser um plano B e se torna a abordagem principal. A ideia central é que, durante o registro manual, o servidor não tenta ativamente se conectar ao agente. Em vez disso, o agente inicia a conexão com o servidor portando a chave de registro, o que contorna a maioria das restrições de rede.
Pré-requisitos:
Servidor Wazuh instalado e em funcionamento.
Agente Wazuh instalado no host de destino.
Conectividade de rede do agente para o servidor nas portas 1514 e 1515.
Permissões sudo em ambos os hosts.
Passo 1: Verificação da Conectividade de Rede
No agente:
bash
ping<IP_DO_SERVIDOR>nc -zv <IP_DO_SERVIDOR>1514# Porta principalnc -zv <IP_DO_SERVIDOR>1515# Porta de enrollment
No servidor Wazuh (opcional):
bash
ping<IP_DO_AGENTE>
Se o ping funcionar, mas as portas 1514/1515 estiverem inacessíveis, a causa mais provável é o firewall do servidor. Verifique o status e, se necessário, abra as portas:
bash
sudo ufw status
sudo firewall-cmd --list-all
# Exemplo de abertura de portas:sudo ufw allow 1514/tcp
sudo ufw allow 1515/tcp
Passo 2: Identificação do IP do Agente Visto pelo Servidor
Este passo é crucial em ambientes com NAT. No agente:
bash
ip a
curl -s ifconfig.io # IP externo, se houver NAT
Verificar a diretiva <address> em /var/ossec/etc/ossec.conf.
Unable to connect to server
Agente não consegue alcançar o servidor
Testar conectividade com telnet <IP_SERVIDOR> 1514 do agente.
Agente desconectado após reinício
IP dinâmico com any, mas IP mudou
Usar any ou um IP estático, ou investigar a causa da mudança de IP.
Passo 7: Verificação Final na Interface Web
Abra o Wazuh Dashboard, navegue até Agents → Agents e localize o agente pelo nome. O status deve ser verde (Active). Em poucos minutos, os primeiros eventos, como logs do sistema, auditoria e chamadas de sistema, começarão a ser exibidos.
O registro manual de agentes não é uma solução paliativa, mas sim um método robusto e essencial para gerenciar agentes em ambientes de rede complexos. Ele funciona eficazmente através de NAT, não exige portas abertas no lado do agente e permite uma localização precisa de problemas em cada etapa. Após a conexão, o agente começará a reportar logs do sistema, eventos de segurança, dados de controle de integridade (FIM), vulnerabilidades e métricas de desempenho, tudo centralizado na interface do Wazuh para correlação e resposta.
Sem cartão para começar · Planos a partir de R$49/mês
A funcionalidade de registro automático de agentes através da interface web do Wazuh é, sem dúvida, conveniente. No entanto, sua eficácia pode ser comprometida em cenários de rede que envolvem NAT, VLANs, DNS com split-horizon ou firewalls corporativos com regras complexas. Nesses ambientes, a ferramenta manage_agents emerge como o único método confiável. Este artigo detalha o processo de registro manual de um agente, a obtenção da chave de registro, sua importação e a solução de erros de conexão típicos.
Por que optar pelo registro manual quando existe o automático?
O Wazuh oferece um mecanismo de registro automático (enrollment) nativo, acessível via interface web ou API, que simplifica o processo: basta informar o IP do agente e obter um comando para execução. Contudo, na prática, este método encontra obstáculos em situações como:
NAT e tradução de endereços: O servidor visualiza o agente com um IP, enquanto o agente se percebe com outro.
Roteamento via jump-hosts: O tráfego não segue uma rota direta.
VLANs isoladas: Requisições de broadcast não conseguem transitar entre segmentos.
IPs temporários ou flutuantes: O endereço IP do agente muda com frequência.
Políticas de segurança restritivas: Chamadas de API de saída são bloqueadas ou a interface web não é acessível.
Em tais condições, o manage_agents deixa de ser um plano B e se torna a abordagem principal. A ideia central é que, durante o registro manual, o servidor não tenta ativamente se conectar ao agente. Em vez disso, o agente inicia a conexão com o servidor portando a chave de registro, o que contorna a maioria das restrições de rede.
Pré-requisitos:
Servidor Wazuh instalado e em funcionamento.
Agente Wazuh instalado no host de destino.
Conectividade de rede do agente para o servidor nas portas 1514 e 1515.
Permissões sudo em ambos os hosts.
Passo 1: Verificação da Conectividade de Rede
No agente:
ping <IP_DO_SERVIDOR>
nc -zv <IP_DO_SERVIDOR> 1514 # Porta principal
nc -zv <IP_DO_SERVIDOR> 1515 # Porta de enrollment
No servidor Wazuh (opcional):
ping <IP_DO_AGENTE>
Se o ping funcionar, mas as portas 1514/1515 estiverem inacessíveis, a causa mais provável é o firewall do servidor. Verifique o status e, se necessário, abra as portas:
sudo ufw status
sudo firewall-cmd --list-all
# Exemplo de abertura de portas:
sudo ufw allow 1514/tcp
sudo ufw allow 1515/tcp
Passo 2: Identificação do IP do Agente Visto pelo Servidor
Este passo é crucial em ambientes com NAT. No agente:
ip a
curl -s ifconfig.io # IP externo, se houver NAT
Verificar a diretiva <address> em /var/ossec/etc/ossec.conf.
Unable to connect to server
Agente não consegue alcançar o servidor
Testar conectividade com telnet <IP_SERVIDOR> 1514 do agente.
Agente desconectado após reinício
IP dinâmico com any, mas IP mudou
Usar any ou um IP estático, ou investigar a causa da mudança de IP.
Passo 7: Verificação Final na Interface Web
Abra o Wazuh Dashboard, navegue até Agents → Agents e localize o agente pelo nome. O status deve ser verde (Active). Em poucos minutos, os primeiros eventos, como logs do sistema, auditoria e chamadas de sistema, começarão a ser exibidos.
O registro manual de agentes não é uma solução paliativa, mas sim um método robusto e essencial para gerenciar agentes em ambientes de rede complexos. Ele funciona eficazmente através de NAT, não exige portas abertas no lado do agente e permite uma localização precisa de problemas em cada etapa. Após a conexão, o agente começará a reportar logs do sistema, eventos de segurança, dados de controle de integridade (FIM), vulnerabilidades e métricas de desempenho, tudo centralizado na interface do Wazuh para correlação e resposta.
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
