Ubuntu
OSSEC 未執行
我有兩個 ec2 實例。在一個中我安裝了 ossec 伺服器,在另一個中我安裝了 ossec 代理。
這是我的伺服器配置
INBOUND
(安全組/防火牆):port:514 source:0.0.0.0/0 port:1514 source:0.0.0.0/0
但它似乎不起作用。在我的代理日誌文件中,我不斷得到:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x . 2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
編輯:
執行
sudo netstat --inet -nlp | grep ossec
。我越來越:udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
我在哪裡犯錯誤?
它說 ossec-remoted(1403):錯誤:來自“我的客戶端 ip”的消息格式不正確。
這意味著您導入了錯誤的身份驗證密鑰(可能來自不同的代理)或您配置代理的 IP 地址與伺服器看到的不同。刪除並重新添加密鑰(確保 IP 正確)並重試。
就我而言,此錯誤是由伺服器遷移後伺服器和代理之間的不同步隊列引起的。
隊列“/var/ossec/queue/rids”必須從舊伺服器複製。此外,請參閱Wazuh 關於從 OSSEC 遷移的建議。
您可以清除 Windows 代理上的目錄“./rid”作為解決方法。