У меня есть два экземпляра ec2. В одном я установил сервер ossec, а в другом — агент ossec.
Вот конфигурация моего сервера INBOUND(группа безопасности/брандмауэр):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Но, похоже, это не работает. В моем файле журнала агента я постоянно получаю:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Редактировать:
Запуск sudo netstat --inet -nlp | grep ossec. Я получаю:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
Где я делаю ошибку?
решение1
Там написано ossec-remoted(1403): ОШИБКА: Неверно отформатированное сообщение от «мой клиентский IP».
Это означает, что вы импортировали неправильные ключи аутентификации (возможно, с другого агента) или IP-адрес, который вы настроили для агента, отличается от того, который видит сервер. Удалите и добавьте ключ заново (убедитесь, что IP-адрес правильный) и попробуйте еще раз.
решение2
В моем случае эта ошибка была вызвана несинхронизированной очередью между сервером и агентом после миграции сервера.
Очереди "/var/ossec/queue/rids" должны быть скопированы со старого сервера. Также см.Рекомендации Wazuh по переходу с OSSEC.
В качестве обходного пути можно очистить каталог «./rid» в агенте Windows.
решение3
Я столкнулся с той же проблемой несколько месяцев назад с ossec-hids v2.9.2. на CentOS 7
Если вы импортировали правильные ключи аутентификации, вам необходимо включить IPv6 на сервере ossec, чтобы иметь возможность запустить ossec-remoted. Не забудьте перезапустить ossec-hidsслужбу после внесения изменений в конфигурацию IPv6.
Не знаю, фича это или баг, но после включения IPv6 ossec-remotedответил ossec-clients.
решение4
Просто перейдите на соответствующий клиент «my-client-ip» и удалите идентификатор клиента, который будет найден в каталоге «/var/ossec/queue/rids/», а затем перезапустите службу ossec-hids, и агент будет активен на консоли.