Para instalar el agente Wazuh en Windows, descarga el instalador MSI desde el portal de Wazuh, ejecútalo con el parámetro WAZUH_MANAGER=IP_SERVIDOR y el agente se registra y conecta automáticamente al servidor. El proceso completo tarda menos de 5 minutos.
¿Cómo instalar el agente Wazuh en Windows paso a paso?
En esta guía te enseño cómo instalar el agente de Wazuh en Windows y configurar los aspectos más importantes del archivo ossec.conf. El agente es el componente que recopila logs, monitoriza la integridad de archivos y envía toda la información al servidor Wazuh.
Video: Instalación Agente Windows
10 minutos - Instalación y configuración ossec.conf
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
Requisito previo: Conectividad con el servidor
Importante: Antes de instalar el agente, asegúrate de que el equipo Windows tiene conectividad con el servidor Wazuh. El agente necesita comunicarse con el servidor para enviar los logs y recibir configuración.
Puedes verificar la conectividad de varias formas:
1. Ping al servidor
ping IP_SERVIDOR2. Verificar acceso al Dashboard (puerto 443)
# Usando PowerShell
Invoke-WebRequest -Uri https://IP_SERVIDOR -SkipCertificateCheck
# O abre en el navegador
https://IP_SERVIDORSi el Dashboard carga correctamente, significa que hay conectividad. Si no funciona, revisa:
- Firewall del servidor (puertos 443 y 1514 abiertos)
- Firewall de Windows en el cliente
- Configuración de red/VPN si están en redes diferentes
Comando de instalación
Ejecuta este comando en PowerShell como Administrador. Debes sustituir los siguientes valores por los de tu entorno:
- WAZUH_MANAGER: IP o hostname de tu servidor Wazuh
- WAZUH_AGENT_NAME: Nombre identificativo para este agente (ej: PC-CONTABILIDAD, SERVER-WEB, etc.)
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile wazuh-agent.msi; Start-Process msiexec.exe -ArgumentList "/i wazuh-agent.msi /q WAZUH_MANAGER=TU_IP_SERVIDOR WAZUH_AGENT_NAME=NOMBRE_AGENTE" -WaitEjemplo real: Si tu servidor Wazuh está en 192.168.1.100 y quieres llamar al agente "PC-OFICINA":
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile wazuh-agent.msi; Start-Process msiexec.exe -ArgumentList "/i wazuh-agent.msi /q WAZUH_MANAGER=192.168.1.100 WAZUH_AGENT_NAME=PC-OFICINA" -WaitArchivo de configuración ossec.conf
El archivo de configuración del agente se encuentra en:
C:\Program Files (x86)\ossec-agent\ossec.conf
Este archivo XML contiene toda la configuración del agente. Las dos secciones más importantes son localfile y syscheck.
Sección localfile - Monitorización de logs
La sección <localfile> define qué logs del sistema Windows quieres enviar a Wazuh. Por defecto, el agente monitoriza los Event Logs principales:
- Security: Eventos de seguridad (inicios de sesión, accesos fallidos, cambios de permisos, etc.)
- System: Eventos del sistema operativo (arranque, paradas de servicios, errores de hardware)
- Application: Eventos de aplicaciones instaladas
Ejemplo de configuración en el ossec.conf:
<localfile>
<location>Security</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>System</location>
<log_format>eventchannel</log_format>
</localfile>Sección syscheck - File Integrity Monitoring (FIM)
La sección <syscheck> configura el File Integrity Monitoring. Esta funcionalidad detecta cambios en archivos y carpetas críticas del sistema:
- Creación de nuevos archivos
- Modificación de archivos existentes
- Eliminación de archivos
- Cambios en permisos
- Modificaciones en el registro de Windows
¿Para qué sirve? El FIM es crucial para detectar malware, ransomware o cambios no autorizados. Si un atacante modifica archivos del sistema o un ransomware empieza a cifrar documentos, Wazuh generará alertas inmediatamente.
Ejemplo de configuración:
<syscheck>
<frequency>300</frequency>
<directories check_all="yes">C:\Windows\System32</directories>
<directories check_all="yes">C:\Users\*\Documents</directories>
<windows_registry>HKEY_LOCAL_MACHINE\Software</windows_registry>
</syscheck>Comandos útiles
Algunos comandos de PowerShell para gestionar el agente:
# Reiniciar el servicio del agente
Restart-Service WazuhSvc
# Ver estado del servicio
Get-Service WazuhSvc
# Ver logs del agente (últimas 50 líneas)
Get-Content "C:\Program Files (x86)\ossec-agent\ossec.log" -Tail 50Recursos adicionales
- Documentación oficial: Agente Windows
- File Integrity Monitoring en Wazuh
- Instalación de Wazuh Server en Linux
Artículos relacionados:
- Cómo Instalar Wazuh en Linux (Ubuntu 24.04)
- Cómo Instalar Wazuh con Docker Compose
- ¿Qué es Wazuh y para qué sirve?
Aprende Wazuh de forma práctica
Este artículo es parte del contenido del curso. Aprende a configurar agentes, crear reglas personalizadas, integrar con otras herramientas y mucho más.