Eu tenho duas instâncias ec2. Em um instalei o servidor ossec e em outro instalei o agente ossec.
Aqui está a configuração do meu servidor INBOUND
(grupo de segurança/firewall):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Mas parece que não está funcionando. No meu arquivo de log do agente, continuo recebendo:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Editar:
Correndo sudo netstat --inet -nlp | grep ossec
. Estou entendendo:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
Onde estou cometendo o erro?
Responder1
Diz ossec-remoted(1403): ERRO: Mensagem formatada incorretamente de 'meu ip do cliente'.
Isso significa que você importou as chaves de autenticação erradas (talvez de um agente diferente) ou o endereço IP que você configurou para o agente é diferente do que o servidor está vendo. Remova e adicione novamente a chave (certifique-se de que o IP esteja correto) e tente novamente.
Responder2
No meu caso, esse erro foi causado por uma fila não sincronizada entre servidor e agente, após a migração do servidor.
As filas "/var/ossec/queue/rids" devem ser copiadas de um servidor antigo. Veja tambémRecomendações de Wazuh para migrar do OSSEC.
Você pode limpar o diretório "./rid" no agente do Windows como solução alternativa.
Responder3
Enfrentei o mesmo problema há alguns meses com ossec-hids v2.9.2. no CentOS 7
Se você importou as chaves de autenticação corretas, você precisa habilitar o IPv6 no servidor ossec para poder executar o ossec-remoted
. Lembre-se de reiniciar o ossec-hids
serviço após fazer as alterações na configuração do IPv6.
Não sei se é um recurso ou um bug, mas depois de habilitar o IPv6 ossec-remoted
respondeu os ossec-clients.
Responder4
Simplesmente vá para o cliente afetado "my-client-ip" e remova o ID do cliente que será encontrado dentro do diretório "/var/ossec/queue/rids/" e então reinicie o serviço ossec-hids e o agente ficará ativo no console.