Cómo Instalar el Agente Wazuh en Windows

Introducción

En esta guía te enseño cómo instalar el agente de Wazuh en Windows y configurar los aspectos más importantes del archivo ossec.conf. El agente es el componente que recopila logs, monitoriza la integridad de archivos y envía toda la información al servidor Wazuh.

Contenido del curso

Video: Instalación Agente Windows

10 minutos - Instalación y configuración ossec.conf

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Requisito previo: Conectividad con el servidor

Puedes verificar la conectividad de varias formas:

1. Ping al servidor

ping IP_SERVIDOR

2. Verificar acceso al Dashboard (puerto 443)

# Usando PowerShell
Invoke-WebRequest -Uri https://IP_SERVIDOR -SkipCertificateCheck

# O abre en el navegador
https://IP_SERVIDOR

Si el Dashboard carga correctamente, significa que hay conectividad. Si no funciona, revisa:

• Firewall del servidor (puertos 443 y 1514 abiertos)
• Firewall de Windows en el cliente
• Configuración de red/VPN si están en redes diferentes

Comando de instalación

Ejecuta este comando en PowerShell como Administrador. Debes sustituir los siguientes valores por los de tu entorno:

• WAZUH_MANAGER: IP o hostname de tu servidor Wazuh
• WAZUH_AGENT_NAME: Nombre identificativo para este agente (ej: PC-CONTABILIDAD, SERVER-WEB, etc.)

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile wazuh-agent.msi; Start-Process msiexec.exe -ArgumentList "/i wazuh-agent.msi /q WAZUH_MANAGER=TU_IP_SERVIDOR WAZUH_AGENT_NAME=NOMBRE_AGENTE" -Wait

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile wazuh-agent.msi; Start-Process msiexec.exe -ArgumentList "/i wazuh-agent.msi /q WAZUH_MANAGER=192.168.1.100 WAZUH_AGENT_NAME=PC-OFICINA" -Wait

Archivo de configuración ossec.conf

El archivo de configuración del agente se encuentra en:

C:\Program Files (x86)\ossec-agent\ossec.conf

Este archivo XML contiene toda la configuración del agente. Las dos secciones más importantes son localfile y syscheck.

Sección localfile - Monitorización de logs

La sección <localfile> define qué logs del sistema Windows quieres enviar a Wazuh. Por defecto, el agente monitoriza los Event Logs principales:

• Security: Eventos de seguridad (inicios de sesión, accesos fallidos, cambios de permisos, etc.)
• System: Eventos del sistema operativo (arranque, paradas de servicios, errores de hardware)
• Application: Eventos de aplicaciones instaladas

Ejemplo de configuración en el ossec.conf:

<localfile>
  <location>Security</location>
  <log_format>eventchannel</log_format>
</localfile>

<localfile>
  <location>System</location>
  <log_format>eventchannel</log_format>
</localfile>

Sección syscheck - File Integrity Monitoring (FIM)

La sección <syscheck> configura el File Integrity Monitoring. Esta funcionalidad detecta cambios en archivos y carpetas críticas del sistema:

• Creación de nuevos archivos
• Modificación de archivos existentes
• Eliminación de archivos
• Cambios en permisos
• Modificaciones en el registro de Windows

Ejemplo de configuración:

<syscheck>
  <frequency>300</frequency>
  <directories check_all="yes">C:\Windows\System32</directories>
  <directories check_all="yes">C:\Users\*\Documents</directories>
  <windows_registry>HKEY_LOCAL_MACHINE\Software</windows_registry>
</syscheck>

Comandos útiles

Algunos comandos de PowerShell para gestionar el agente:

# Reiniciar el servicio del agente
Restart-Service WazuhSvc

# Ver estado del servicio
Get-Service WazuhSvc

# Ver logs del agente (últimas 50 líneas)
Get-Content "C:\Program Files (x86)\ossec-agent\ossec.log" -Tail 50

Recursos adicionales

• Documentación oficial: Agente Windows
• File Integrity Monitoring en Wazuh
• Instalación de Wazuh Server en Linux

Artículos relacionados:

• Cómo Instalar Wazuh en Linux (Ubuntu 24.04)
• Cómo Instalar Wazuh con Docker Compose
• ¿Qué es Wazuh y para qué sirve?