Ubuntu

OSSEC 未執行

  • March 25, 2021

我有兩個 ec2 實例。在一個中我安裝了 ossec 伺服器,在另一個中我安裝了 ossec 代理。

這是我的伺服器配置INBOUND(安全組/防火牆):

port:514   source:0.0.0.0/0
port:1514   source:0.0.0.0/0

但它似乎不起作用。在我的代理日誌文件中,我不斷得到:

2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.

編輯:

執行sudo netstat --inet -nlp | grep ossec。我越來越:

udp        0      0 0.0.0.0:1514            0.0.0.0:*                           26027/ossec-remoted

我在哪裡犯錯誤?

它說 ossec-remoted(1403):錯誤:來自“我的客戶端 ip”的消息格式不正確。

這意味著您導入了錯誤的身份驗證密鑰(可能來自不同的代理)或您配置代理的 IP 地址與伺服器看到的不同。刪除並重新添加密鑰(確保 IP 正確)並重試。

就我而言,此錯誤是由伺服器遷移後伺服器和代理之間的不同步隊列引起的。

隊列“/var/ossec/queue/rids”必須從舊伺服器複製。此外,請參閱Wazuh 關於從 OSSEC 遷移的建議

您可以清除 Windows 代理上的目錄“.​​/rid”作為解決方法。

引用自:https://serverfault.com/questions/421884