wazuh-agent在 Ubuntu 机器(或 Windows)中安装服务后,如果hostname发生更改,那么哪种方式是更正配置wazuh-agent以反映新hostname内容的最佳方式wazuh-server?(如果 Windows 主机中也存在同样的情况,请提出解决方案)
答案1
为了更改 Wazuh 代理的名称以反映其新名称,hostname必须重新注册代理。如果您使用的是 Wazuh 4.x,您可以通过从管理器中删除代理来实现此目的,它将自动再次注册。默认情况下启用自动注册,如果未指定名称,则代理的名称将是其主机名。
要了解有关注册变量的更多信息,请参阅文档:https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/client.html#enrollment
请注意,此过程将为代理分配一个新 ID。如果您希望保留代理的 ID,可以使用启用该force_time选项的添加代理完整 API 端点,此选项将允许您在代理断开连接一段时间(以秒为单位)后重新使用代理的 ID。
例如,如果您想重新注册代理 001:
获取你的 API 令牌:
TOKEN=$(curl -u wazuh:wazuh -k -X GET "https://localhost:55000/security/user/authenticate?raw=true")
使用新信息注册代理:
要生成密钥,您可以使用以下命令: openssl rand -hex 32。
指出name您想要的新名称,例如新主机名。
curl -k -X POST "https://localhost:55000/agents/insert" -H "Authorization: Bearer $TOKEN" -H 'Content-Type: application/json' -d'
{
"name": "newhostname",
"ip": "any",
"id": "001",
"key": "1abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyzabcdefghi64",
"force_time":1
}'
复制 API 回复中提供的密钥。请注意,此密钥与上一步中介绍的密钥不同,因为此密钥包含有关代理的所有附加信息(名称、IP、ID)。
{"data": {"id": "001", "key": "MDAxIG5ld2hvc3RuYW1lIGFueSAxYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5emFiY2RlZmdoaTY0"}, "error": 0}
在代理上使用 /var/ossec/bin/manage-agents -i 导入新的身份验证密钥。
/var/ossec/bin/manage_agents -i MDAxIG5ld2hvc3RuYW1lIGFueSAxYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXphYmNkZWZnaGlqa2xtbm9wcXJzdHV2d3h5emFiY2RlZmdoaTY0
重新启动代理。
systemctl restart wazuh-agent