Тоже не дошел до него, но может быть когда-то доберусь.
Дальше будет мое жидкое IMHO, не пинайте сильно если ошибаюсь т.к. только поверхностно разбирался.
wazuh очень сильно похож на crowdsec, но шире по функционалу
- Но я писал сколько ресурсов занимает crowdsec, wazuh же я скачал в виде отдельной виртуалки и оно не влезло в 2ГБ оперативки, насколько я понял, оно построено на основе ELK стека, а по поводу него у меня “вьетнамские флешбеки” и дома принципиально не хотел поднимать этого монстра.
- Что касается WAF и fail2ban, то тут замечательно справляется со своими задачами
- SIEM, сканирование целостности и наличия уязвимостей по базам - тут только wazuh
GPT говорит, что
Минимальная конфигурация для homelab
Если ставить всё в один контейнер/VM:
4 vCPU
8 GB RAM
80 GB disk
Но даже в таком режиме:
- система будет чувствительна к I/O
- indexer будет занимать ~3-4GB RAM.
Реалистичные требования (нормальная работа)
Если использовать:
- file integrity monitoring
- vulnerability detection
- большое количество логов
то лучше закладывать:
CPU: 6–8 vCPU
RAM: 12–16 GB
Disk: 100–200 GB
Причина — indexer (OpenSearch) активно использует RAM.
Сравнение с crowdsec
| Функция | CrowdSec | Wazuh |
|---|---|---|
| Анализ логов |  |
|
| IDS / IPS | |
|
| Автоматический бан IP | (основная функция) |
через active response |
| Community threat intelligence | (основная фича) |
частично |
| SIEM |  |
|
| XDR / EDR | |
частично |
| Vulnerability scanning | |
|
| File integrity monitoring | |
|
| Compliance (PCI, HIPAA, CIS) | |
|
| Endpoint monitoring | |
|
| Корреляция событий | минимальная | мощная |
| Dashboards | базовые | полноценные (OpenSearch/Kibana) |
Тоже интересно про него почитать реальные отзывы, у меня он в списке для разворачивания не этого года, еще есть что докрутить и доделать в хомлабе