国内云部署Wazuh会遇哪些坑?

说起在国内云上装Wazuh，我这几个月的折腾简直像在玩盲盒。刚把两台服务器买下来，兴致冲冲地跑去官方文档，结果发现每一步都藏着“惊喜”。

网络连通的坑

国内云的VPC默认是同城互通，但一跨省就会被防火墙“拦截”。我把大白兔和灰小兔分别部署在北京和上海，结果Agent根本连不上Manager，日志里全是“connection timed out”。后来把两台都迁到同一个可用区，连通才恢复。还有一点是内网IP必须写成10.x.x.x这种私网段，别把公网IP塞进去，等到报警页面只剩一堆红叉。

镜像源卡顿

Wazuh的yum仓库在国外，国内云的出口带宽经常被限速。一次执行 yum install wazuh-manager，页面卡住了近半小时，最后才提示“download failed”。我干脆把仓库地址改成阿里云的镜像，速度瞬间从“龟速”跳到“飞起”。如果你不想手动改，直接在服务器上跑 sed -i 's/packages.wazuh.com/mirrors.aliyun.com/g' /etc/yum.repos.d/wazuh.repo，省事又省心。

安全组和防火墙

• Wazuh Manager 必须放行 UDP 1514、TCP 1515，用来接收 Agent 上报的日志。
• ElasticSearch 常用 9200（HTTP）和 9300（Transport），忘记开会导致 Kibana 页面一直报 502。
• Kibana 的 UI 端口 5601，别把它误删成了 80，结果浏览器一直提示“连接被拒绝”。
• Wazuh API（默认 55000）如果没有单独放行，Agent 注册时会报 “authentication failed”。

我最头疼的事儿是安全组的规则顺序——先放行的规则会被后面的“拒绝所有”覆盖。调通后才发现，原来是我把 0.0.0.0/0 的拒绝写在了最前面，所有流量都被拦死了。

时间同步

Wazuh 对时间戳非常敏感，服务器时间相差几分钟就会出现“event out of order”。国内云的时钟默认是北京时区，但有些小厂商的镜像里 NTP 服务没开。装完后我跑了 timedatectl set-ntp true，并在 crontab 里加了每小时一次的同步，告别了日志错位的尴尬。

资源配额与性能

4核8G 看起来足够，却在开启 Filebeat、Logstash、Kibana 三件套后瞬间把内存吃满。监控页面经常出现 OOM kill，甚至把 Wazuh Manager 给干掉。解决办法是把 Elasticsearch 的 JVM 堆调小（-Xms2g -Xmx2g），或者直接把 Agent 端的日志采集频率降下来。记得在云平台的监控里开个告警，省得半夜被“实例被强制重启”吓醒。

说到底，国内云部署 Wazuh 最大的坑就是“国内网络”和“云厂商默认配置”。把这些细节踩平后，系统跑起来真的很顺手——每次看到仪表盘里绿色的趋势线，我都忍不住想给自己点个赞。