2 つの ec2 インスタンスがあります。1 つに ossec サーバーをインストールし、もう 1 つに ossec エージェントをインストールしました。
私のサーバー構成INBOUND
(セキュリティ グループ/ファイアウォール)は次のとおりです。
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
しかし、うまく機能していないようです。エージェント ログ ファイルには、次のような内容が記録されています:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
編集:
実行中sudo netstat --inet -nlp | grep ossec
。次の結果を得ています:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
どこで間違いを犯しているのでしょうか?
答え1
ossec-remoted(1403): エラー: 'my client ip' からのメッセージが正しくフォーマットされていません。と表示されます。
これは、間違った認証キーをインポートした (おそらく別のエージェントから) か、エージェントに設定した IP アドレスがサーバーが認識しているものと異なることを意味します。キーを削除して再度追加し (IP が正しいことを確認)、もう一度試してください。
答え2
私の場合、このエラーは、サーバーの移行後にサーバーとエージェント間のキューが同期されていないために発生しました。
キュー「/var/ossec/queue/rids」は古いサーバーからコピーする必要があります。また、以下を参照してください。OSSECからの移行に関するWazuhの推奨事項。
回避策として、Windows エージェントのディレクトリ「./rid」をクリアすることができます。
答え3
数か月前、CentOS 7のossec-hids v2.9.2で同じ問題に直面しました。
正しい認証キーをインポートした場合、実行できるようにするために ossec サーバーで IPv6 を有効にする必要がありますossec-remoted
。ossec-hids
IPv6 構成を変更した後は、必ずサービスを再起動するようにしてください。
機能なのかバグなのかはわかりませんが、IPv6 を有効にするとossec-remoted
ossec-clients に応答しました。
答え4
影響を受けるクライアント「my-client-ip」に移動し、ディレクトリ「/var/ossec/queue/rids/」内にあるクライアント ID を削除し、ossec-hids サービスを再起動すると、エージェントがコンソール上でアクティブになります。