OSSEC no está funcionando

Question 1

Dice ossec-remoted(1403): ERROR: Mensaje con formato incorrecto de 'mi IP de cliente'.

Significa que ha importado las claves de autenticación incorrectas (tal vez de un agente diferente) o que la dirección IP que configuró el agente es diferente de la que ve el servidor. Eliminando y volviendo a agregar la clave (asegúrese de que la IP sea correcta) e intente nuevamente.

Answer

Dice ossec-remoted(1403): ERROR: Mensaje con formato incorrecto de 'mi IP de cliente'.

Significa que ha importado las claves de autenticación incorrectas (tal vez de un agente diferente) o que la dirección IP que configuró el agente es diferente de la que ve el servidor. Eliminando y volviendo a agregar la clave (asegúrese de que la IP sea correcta) e intente nuevamente.

Question 2

En mi caso, este error fue causado por una cola no sincronizada entre el servidor y el agente, después de la migración del servidor.

Las colas "/var/ossec/queue/rids" deben copiarse de un servidor antiguo. Ver tambiénRecomendaciones de Wazuh para migrar desde OSSEC.

Puede borrar el directorio "./rid" en el agente de Windows como solución alternativa.

Answer

En mi caso, este error fue causado por una cola no sincronizada entre el servidor y el agente, después de la migración del servidor.

Las colas "/var/ossec/queue/rids" deben copiarse de un servidor antiguo. Ver tambiénRecomendaciones de Wazuh para migrar desde OSSEC.

Puede borrar el directorio "./rid" en el agente de Windows como solución alternativa.

Question 3

Me enfrenté al mismo problema hace unos meses con ossec-hids v2.9.2. en CentOS 7

Si ha importado las claves de autenticación correctas, deberá habilitar IPv6 en el servidor ossec para poder ejecutar ossec-remoted. Recuerde reiniciar el ossec-hidsservicio después de realizar los cambios en la configuración de IPv6.

No sé si es una característica o un error, pero después de habilitar IPv6 ossec-remotedrespondieron los clientes de ossec.

Answer

Me enfrenté al mismo problema hace unos meses con ossec-hids v2.9.2. en CentOS 7

Si ha importado las claves de autenticación correctas, deberá habilitar IPv6 en el servidor ossec para poder ejecutar ossec-remoted. Recuerde reiniciar el ossec-hidsservicio después de realizar los cambios en la configuración de IPv6.

No sé si es una característica o un error, pero después de habilitar IPv6 ossec-remotedrespondieron los clientes de ossec.

Question 4

Simplemente vaya al cliente afectado "my-client-ip" y elimine el ID del cliente que se encontrará dentro del directorio "/var/ossec/queue/rids/" y luego reinicie el servicio ossec-hids y el agente se activará en la consola.

Answer

Simplemente vaya al cliente afectado "my-client-ip" y elimine el ID del cliente que se encontrará dentro del directorio "/var/ossec/queue/rids/" y luego reinicie el servicio ossec-hids y el agente se activará en la consola.

OSSEC no está funcionando

Editar:

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada