OSSEC 未執行

我有兩個 ec2 實例。在一個中我安裝了 ossec 伺服器，在另一個中我安裝了 ossec 代理。

這是我的伺服器配置INBOUND（安全組/防火牆）：

port:514   source:0.0.0.0/0
port:1514   source:0.0.0.0/0

但它似乎不起作用。在我的代理日誌文件中，我不斷得到：

2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.

編輯：

執行sudo netstat --inet -nlp | grep ossec。我越來越：

udp        0      0 0.0.0.0:1514            0.0.0.0:*                           26027/ossec-remoted

我在哪裡犯錯誤？

它說 ossec-remoted(1403)：錯誤：來自“我的客戶端 ip”的消息格式不正確。

這意味著您導入了錯誤的身份驗證密鑰（可能來自不同的代理）或您配置代理的 IP 地址與伺服器看到的不同。刪除並重新添加密鑰（確保 IP 正確）並重試。

就我而言，此錯誤是由伺服器遷移後伺服器和代理之間的不同步隊列引起的。

隊列“/var/ossec/queue/rids”必須從舊伺服器複製。此外，請參閱Wazuh 關於從 OSSEC 遷移的建議。

您可以清除 Windows 代理上的目錄“.​​/rid”作為解決方法。

引用自：https://serverfault.com/questions/421884