Агент OSSEC, связанный с сервером OSSIM
Я установил сервер OSSIM на ВМ и попытался связать с ним агент OSSEC. Мне удалось связать и установить HIDS на клиенте и заставить его нормально общаться с сервером OSSIM.
Однако в разделе "ОКРУЖАЮЩАЯ СРЕДА -> ОБНАРУЖЕНИЕ" я не могу заставить агента отображаться как активный. Я попробовал это с Ubuntu и клиентом CentOS, но у меня та же проблема с обоими.
Любые советы о том, как получить статус агента в Active.
1 ответ
Это довольно меньше информации. вы пытаетесь заставить агента работать на Windows или Linux?
если вы правильно установили сервер ossim, вы должны установить оболочки ossec на агенте os и настроить его для работы в качестве агента. выполните следующие действия, если вы еще этого не сделали, чтобы настроить агент на хосте Linux.
sudo./install.sh
1- Какой тип установки вы хотите (сервер, агент, локальный, гибридный или справочный)? написать агент
затем вопрос: какой IP-адрес или имя хоста сервера OSSEC HIDS?введите свой ip с сервера ossec
другие вопросы должны быть хорошими, если вы просто выбираете ответы по умолчанию.
когда закончите, запустите sudo / var / ossec / bin/manage_agents
на сервере ossec / ossim
затем добавьте агента, меню должно выглядеть примерно так:
(А) и агент (А).
(E) извлекать ключ для агента (E).
(L) это уже добавленные агенты (L).
(R) удаляют агент (R).
(Уволиться.
Выберите свое действие: A,E,L,R или Q: a
добавить агента, а затем извлечь ключ для этого агента
сохраните этот ключ для последующего использования
наконец вернитесь к агенту и запустите тот же инструмент
sudo / var / ossec / bin/manage_agents
выберите (I) ключ mport с сервера (I).
вставьте ключ, полученный с сервера ossim, и подтвердите.
наконец, перезапустите сервер ossim (я думаю, что его /etc/init.d/ossim-server restart) и агент ossec (я думаю, его /etc/init.d/ossec restart), который должен быть целью.