OSSEC не работает
У меня есть два экземпляра ec2. В одном я установил сервер ossec, а в другом - агент ossec.
Вот мой конфиг сервера INBOUND (группа безопасности / межсетевой экран):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Но, похоже, не работает. В моем файле журнала агента я продолжаю получать:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Редактировать:
Бег sudo netstat --inet -nlp | grep ossec, Я собираюсь:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
Где я совершаю ошибку?
4 ответа
Это говорит ossec-remoted(1403): ОШИБКА: неправильно отформатированное сообщение от 'my client ip'.
Это означает, что вы импортировали неверные ключи аутентификации (возможно, из другого агента) или IP-адрес, который вы настроили для агента, отличается от того, что видит сервер. Извлеките и повторно добавьте ключ (убедитесь, что IP-адрес правильный) и повторите попытку.
В моем случае эта ошибка была вызвана несинхронизированной очередью между сервером и агентом после миграции сервера.
Очереди «/var/ossec/queue/rids» необходимо скопировать со старого сервера. Также ознакомьтесь с рекомендациями Wazuh по переходу с OSSEC.
В качестве обходного пути вы можете очистить каталог «./rid» в агенте Windows.
Я столкнулся с той же проблемой несколько месяцев назад с ossec-hids v2.9.2. на CentOS 7
Если вы импортировали правильные ключи аутентификации, вам нужно включить IPv6 на сервере ossec, чтобы можно было запустить ossec-remoted, Не забудьте перезапустить ossec-hids после внесения изменений в конфигурацию IPv6.
Я не знаю, является ли это функция или ошибка, но после включения IPv6 ossec-remoted ответил ossec-клиентам.
Просто перейдите к затронутому клиенту «my-client-ip» и удалите идентификатор клиента, который будет найден в каталоге «/var/ossec/queue/rids/», а затем перезапустите службу ossec-hids, и агент станет активным на консоли.