michaeltheumert/monitoring-wazuh-with-zabbix
GitHub: michaeltheumert/monitoring-wazuh-with-zabbix
提供一套在生产环境中使用 Zabbix 可靠监控 Wazuh 的方法,防止检测静默失效并打通安全与基础设施监控。
Stars: 0 | Forks: 0
# 使用 Zabbix 监控 Wazuh
[](https://creativecommons.org/licenses/by/4.0/)
一篇关于确保**安全监控平台可靠性**的实用、生产就绪指南。
*由 [SECaaS.IT](https://security-as-a-service.io/) 在 [Wazuh 大使计划](https://wazuh.com/ambassadors-program/) 中发布*
## 核心原则
| 平台 | 角色 |
|---|---|
| **[Wazuh](https://wazuh.com/)** | 威胁检测、日志分析、安全可见性 |
| **[Zabbix](https://www.zabbix.com/)** | 基础设施监控、可用性、平台健康 |
## 为何这很重要
Wazuh 常被视为一个核心安全组件,但很少作为一个**必须被监控的关键系统**来对待。
本仓库介绍了一种结构化的方法,用于:
- 防止**检测能力的静默失效**
- 建立**全流程可见性保障**
- 弥合**安全监控与基础设施监控**之间的差距
- 构建**对安全运营的信任**
## 架构概览
```
flowchart LR
A[Endpoints] --> B[Wazuh Agents]
B --> C[Wazuh Manager]
C --> D[Wazuh Indexer]
D --> E[Wazuh Dashboard]
Z[Zabbix] --> B
Z --> C
Z --> D
Z --> E
Z --> F[Pipeline flow validation]
```
## 适用对象
- 在生产环境中运行 Wazuh 的安全工程师
- 需要可靠早期预警指标的 SOC 团队
- 负责安全平台可用性的 IT 管理员
- 将监控集成到安全运营中的 DevOps 和平台工程师
## 如何使用本仓库
- 从 **第一部分** 开始以理解问题空间
- 按顺序跟随系列文章以获得概念性理解
- 使用**配套参考**进行动手实践
- 最佳并行使用:
- 文章 → *理解*
- 配套 → *执行*
## 文章系列
| # | 文章 | 重点 |
|---|---|---|
| 1 | [为什么使用 Zabbix 监控 Wazuh](./docs/Part-01-Why-Monitor-Wazuh-with-Zabbix.md) | 静默失效、可见性丢失,以及基础设施监控的理由 |
| 2 | [为 Wazuh 设计有效的监控](./docs/Part-02-Designing-Effective-Monitoring-for-Wazuh.md) | 可见性保障模型、三层监控、从故障场景设计 |
| 3 | [构建你的第一个 Zabbix 检查项](./docs/Part-03-Building-Your-First-Zabbix-Checks.md) | 监控项、触发器、测试、所有权 — 逐步实现 |
| 4 | [从指标到行动 — 告警策略](./docs/Part-04-From-Metrics-to-Action.md) | 严重性设计、投递可靠性、升级机制 |
| 5 | [运维与维护监控](./docs/Part-05-Operating-and-Maintaining-Monitoring.md) | 信号质量、监控的监控、操作纪律 |
| 6 | [从监控到信任](./docs/Part-06-From-Monitoring-to-Trust.md) | 分布式架构、端到端流水线验证、SOC 成熟度 |
## 配套实现参考
文章系列解释了**为什么**以及**如何设计**。
对于包括以下内容的逐步实现:
- Zabbix 代理安装
- PSK 加密
- 监控项和触发器配置
- 通知设置
- 模板设计
- 扩展性考虑
→ 请参阅配套参考:
📄 [Zabbix–Wazuh 集成指南](./docs/Companion-Reference.md)
## 仓库结构
```
├── README.md ← Entry point
└── docs/
├── README.md ← Series overview and navigation
├── Part-01-Why-Monitor-Wazuh-with-Zabbix.md
├── Part-02-Designing-Effective-Monitoring-for-Wazuh.md
├── Part-03-Building-Your-First-Zabbix-Checks.md
├── Part-04-From-Metrics-to-Action.md
├── Part-05-Operating-and-Maintaining-Monitoring.md
├── Part-06-From-Monitoring-to-Trust.md
└── Companion-Reference.md
```
## 状态
本仓库代表了一种**基于生产环境验证的方法**,源自真实部署场景。
随着实践演进,它将持续维护和扩展。
## 关于 SECaaS.IT
[SECaaS.IT](https://security-as-a-service.io/) 为需要企业级安全运营而无需完全自建的组织提供安全即服务。
这项工作反映了来自以下方面的实践经验:
- 关键环境中的 SIEM 部署
- 安全运营监控
- 基础设施与安全可观测性的集成
## 许可证
本作品根据 **知识共享署名 4.0 国际许可协议 (CC BY 4.0)** 授权。
您可以:
- 分享并改编材料
- 在您自己的环境和项目中使用
只要给予适当署名。
详见 [LICENSE](./LICENSE) 文件。
标签:AMSI绕过, Mutation, SEO: Wazuh Zabbix 集成, SEO: 安全监控最佳实践, SEO: 生产级监控, Wazuh, Zabbix, 代理支持, 仪表板监控, 可视化, 可靠性监控, 告警, 基础设施监控, 威胁检测, 安全可见性, 安全运营, 平台健康, 扫描框架, 持续监控, 检测管道, 沉默故障, 生产就绪, 监控集成, 端点监控, 索引监控