Tengo dos instancias ec2. En uno he instalado el servidor ossec y en otro he instalado el agente ossec.
Aquí está la configuración de mi servidor INBOUND
(grupo de seguridad/firewall):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Pero parece que no funciona. En el archivo de registro de mi agente sigo recibiendo:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Editar:
Correr sudo netstat --inet -nlp | grep ossec
. Me estoy poniendo:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
¿Dónde estoy cometiendo el error?
Respuesta1
Dice ossec-remoted(1403): ERROR: Mensaje con formato incorrecto de 'mi IP de cliente'.
Significa que ha importado las claves de autenticación incorrectas (tal vez de un agente diferente) o que la dirección IP que configuró el agente es diferente de la que ve el servidor. Eliminando y volviendo a agregar la clave (asegúrese de que la IP sea correcta) e intente nuevamente.
Respuesta2
En mi caso, este error fue causado por una cola no sincronizada entre el servidor y el agente, después de la migración del servidor.
Las colas "/var/ossec/queue/rids" deben copiarse de un servidor antiguo. Ver tambiénRecomendaciones de Wazuh para migrar desde OSSEC.
Puede borrar el directorio "./rid" en el agente de Windows como solución alternativa.
Respuesta3
Me enfrenté al mismo problema hace unos meses con ossec-hids v2.9.2. en CentOS 7
Si ha importado las claves de autenticación correctas, deberá habilitar IPv6 en el servidor ossec para poder ejecutar ossec-remoted
. Recuerde reiniciar el ossec-hids
servicio después de realizar los cambios en la configuración de IPv6.
No sé si es una característica o un error, pero después de habilitar IPv6 ossec-remoted
respondieron los clientes de ossec.
Respuesta4
Simplemente vaya al cliente afectado "my-client-ip" y elimine el ID del cliente que se encontrará dentro del directorio "/var/ossec/queue/rids/" y luego reinicie el servicio ossec-hids y el agente se activará en la consola.