我有兩個 ec2 實例。在其中一個中我安裝了 ossec 伺服器,在另一個中我安裝了 ossec 代理程式。
這是我的伺服器設定INBOUND(安全群組/防火牆):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
但它似乎不起作用。在我的代理日誌檔案中,我不斷收到:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
編輯:
跑步sudo netstat --inet -nlp | grep ossec。我越來越:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
我哪裡出錯了?
答案1
它說 ossec-remoted(1403): 錯誤: 來自「我的客戶端 ip」的訊息格式不正確。
這表示您匯入了錯誤的身份驗證金鑰(可能來自不同的代理程式)或您配置代理程式的 IP 位址與伺服器看到的不同。刪除並重新新增金鑰(確保 IP 正確),然後重試。
答案2
就我而言,此錯誤是由伺服器遷移後伺服器和代理之間的不同步佇列引起的。
佇列“/var/ossec/queue/rids”必須從舊伺服器複製。另請參閱Wazuh 關於從 OSSEC 遷移的建議。
您可以清除 Windows 代理程式上的目錄“./rid”作為解決方法。
答案3
幾個月前我在使用 ossec-hids v2.9.2 時遇到了同樣的問題。在 CentOS 7 上
如果您匯入了正確的身份驗證金鑰,則需要在 ossec 伺服器上啟用 IPv6 才能運作ossec-remoted。請記得ossec-hids在更改 IPv6 配置後重新啟動服務。
我不知道這是一個功能還是一個錯誤,但啟用 IPv6 後ossec-remoted回答了 ossec-clients。
答案4
只需前往受影響的客戶端「my-client-ip」並刪除在目錄「/var/ossec/queue/rids/」中找到的客戶端ID,然後重新啟動ossec-hids 服務,代理程式將在控制台上激活。