두 개의 ec2 인스턴스가 있습니다. 하나에는 ossec 서버를 설치했고 다른 하나에는 ossec 에이전트를 설치했습니다.
내 서버 구성 INBOUND(보안 그룹/방화벽)은 다음과 같습니다.
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
하지만 작동하지 않는 것 같습니다. 내 에이전트 로그 파일에는 다음 내용이 계속 표시됩니다.
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
편집하다:
달리기 sudo netstat --inet -nlp | grep ossec. 나는 얻는다 :
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
내가 어디서 실수를 하고 있는 걸까?
답변1
ossec-remoted(1403): 오류: '내 클라이언트 IP'의 메시지 형식이 잘못되었습니다.
이는 잘못된 인증 키(아마도 다른 에이전트에서)를 가져왔거나 에이전트에 구성한 IP 주소가 서버에 표시되는 것과 다르다는 의미입니다. 키를 제거했다가 다시 추가하고(IP가 올바른지 확인) 다시 시도하세요.
답변2
제 경우에는 서버 마이그레이션 후 서버와 에이전트 간의 대기열이 동기화되지 않아 이 오류가 발생했습니다.
대기열 "/var/ossec/queue/rids"는 이전 서버에서 복사되어야 합니다. 또한 참조하세요OSSEC에서 마이그레이션하기 위한 Wazuh의 권장 사항.
해결 방법으로 Windows 에이전트에서 "./rid" 디렉터리를 지울 수 있습니다.
답변3
나는 몇 달 전에 ossec-hids v2.9.2에서 동일한 문제에 직면했습니다. CentOS 7에서
올바른 인증 키를 가져온 경우 ossec 서버에서 IPv6을 활성화해야 실행할 수 있습니다 ossec-remoted. ossec-hidsIPv6 구성을 변경한 후에는 서비스를 다시 시작해야 합니다 .
기능인지 버그인지는 모르겠지만 IPv6을 활성화한 후 ossec-remotedossec-clients에 응답했습니다.
답변4
영향을 받은 클라이언트 "my-client-ip"로 이동하여 "/var/ossec/queue/rids/" 디렉터리에 있는 클라이언트 ID를 제거한 다음 ossec-hids 서비스를 다시 시작하면 에이전트가 콘솔에서 활성화됩니다.