我有两个 ec2 实例。在一个实例中我安装了 ossec 服务器,在另一个实例中我安装了 ossec 代理。
这是我的服务器配置INBOUND(安全组/防火墙):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
但它似乎不起作用。在我的代理日志文件中,我不断收到:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
编辑:
正在运行sudo netstat --inet -nlp | grep ossec。我得到:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
我哪里犯了错误?
答案1
它说 ossec-remoted(1403): 错误:来自‘我的客户端 ip’的消息格式不正确。
这意味着您导入了错误的身份验证密钥(可能来自不同的代理)或您为代理配置的 IP 地址与服务器看到的不同。删除并重新添加密钥(确保 IP 正确)并重试。
答案2
就我而言,此错误是由于服务器迁移后服务器和代理之间的队列不同步引起的。
队列“/var/ossec/queue/rids”必须从旧服务器复制。另请参阅Wazuh 关于从 OSSEC 迁移的建议。
您可以清除 Windows 代理上的目录“./rid”作为解决方法。
答案3
几个月前我在 CentOS 7 上使用 ossec-hids v2.9.2 时也遇到了同样的问题。
如果您已经导入了正确的身份验证密钥,则需要在 ossec 服务器上启用 IPv6 才能运行ossec-remoted。请记住ossec-hids在对 IPv6 配置进行更改后重新启动服务。
我不知道这是一个功能还是一个错误,但启用 IPv6 后ossec-remoted回答了 ossec-clients。
答案4
只需转到受影响的客户端“my-client-ip”并删除在目录“/var/ossec/queue/rids/”中找到的客户端 ID,然后重新启动 ossec-hids 服务,代理将在控制台上激活。