OSSEC läuft nicht

Question 1

Es heißt ossec-remoted(1403): FEHLER: Falsch formatierte Nachricht von „meiner Client-IP“.

Das bedeutet, dass Sie die falschen Authentifizierungsschlüssel importiert haben (möglicherweise von einem anderen Agenten) oder dass die von Ihnen für den Agenten konfigurierte IP-Adresse nicht mit der übereinstimmt, die der Server sieht. Entfernen Sie den Schlüssel, fügen Sie ihn erneut hinzu (stellen Sie sicher, dass die IP korrekt ist) und versuchen Sie es erneut.

Answer

Es heißt ossec-remoted(1403): FEHLER: Falsch formatierte Nachricht von „meiner Client-IP“.

Das bedeutet, dass Sie die falschen Authentifizierungsschlüssel importiert haben (möglicherweise von einem anderen Agenten) oder dass die von Ihnen für den Agenten konfigurierte IP-Adresse nicht mit der übereinstimmt, die der Server sieht. Entfernen Sie den Schlüssel, fügen Sie ihn erneut hinzu (stellen Sie sicher, dass die IP korrekt ist) und versuchen Sie es erneut.

Question 2

In meinem Fall wurde dieser Fehler durch eine nicht synchronisierte Warteschlange zwischen Server und Agent nach der Servermigration verursacht.

Warteschlangen "/var/ossec/queue/rids" müssen von einem alten Server kopiert werden. Siehe auchWazuhs Empfehlungen zur Migration von OSSEC.

Als Workaround können Sie das Verzeichnis „./rid“ im Windows-Agent löschen.

Answer

In meinem Fall wurde dieser Fehler durch eine nicht synchronisierte Warteschlange zwischen Server und Agent nach der Servermigration verursacht.

Warteschlangen "/var/ossec/queue/rids" müssen von einem alten Server kopiert werden. Siehe auchWazuhs Empfehlungen zur Migration von OSSEC.

Als Workaround können Sie das Verzeichnis „./rid“ im Windows-Agent löschen.

Question 3

Ich hatte vor einigen Monaten das gleiche Problem mit ossec-hids v2.9.2 unter CentOS 7

Wenn Sie die richtigen Authentifizierungsschlüssel importiert haben, müssen Sie IPv6 auf dem Ossec-Server aktivieren, um ausführen zu können ossec-remoted. Denken Sie daran, den ossec-hidsDienst neu zu starten, nachdem Sie die Änderungen an der IPv6-Konfiguration vorgenommen haben.

Ich weiß nicht, ob es sich um ein Feature oder einen Fehler handelt, aber nach der Aktivierung von IPv6 ossec-remotedantworteten die Ossec-Clients.

Answer

Ich hatte vor einigen Monaten das gleiche Problem mit ossec-hids v2.9.2 unter CentOS 7

Wenn Sie die richtigen Authentifizierungsschlüssel importiert haben, müssen Sie IPv6 auf dem Ossec-Server aktivieren, um ausführen zu können ossec-remoted. Denken Sie daran, den ossec-hidsDienst neu zu starten, nachdem Sie die Änderungen an der IPv6-Konfiguration vorgenommen haben.

Ich weiß nicht, ob es sich um ein Feature oder einen Fehler handelt, aber nach der Aktivierung von IPv6 ossec-remotedantworteten die Ossec-Clients.

Question 4

Gehen Sie einfach zum betroffenen Client „my-client-ip“ und entfernen Sie die Client-ID, die sich im Verzeichnis „/var/ossec/queue/rids/“ befindet. Starten Sie anschließend den ossec-hids-Dienst neu und der Agent wird auf der Konsole aktiviert.

Answer

Gehen Sie einfach zum betroffenen Client „my-client-ip“ und entfernen Sie die Client-ID, die sich im Verzeichnis „/var/ossec/queue/rids/“ befindet. Starten Sie anschließend den ossec-hids-Dienst neu und der Agent wird auf der Konsole aktiviert.

OSSEC läuft nicht

Bearbeiten:

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen