我在虚拟机上安装了 OSSIM 服务器,并尝试将 OSSEC 代理链接到它。我已能够在客户端上链接和安装 HIDS,并使其与 OSSIM 服务器正常通信。
但是,在“环境”->“检测”部分,我无法让代理显示为活动状态。我尝试使用 Ubuntu 和 CentOS 客户端,但两者都遇到了同样的问题。
关于如何使代理状态变为活跃状态的任何建议。
答案1
信息量太少了。您尝试过在 Windows 或 Linux 机器上运行代理吗?
如果您正确安装了 ossim 服务器,则必须在代理操作系统上安装 ossec hids 并将其配置为代理。如果您尚未这样做,请按照以下步骤在 Linux 主机上设置代理。
sudo./install.sh 复制代码
1-您想要什么类型的安装(服务器,代理,本地,混合或帮助)? 写 代理人
然后稍后再问这个问题:OSSEC HIDS 服务器的 IP 地址或主机名是什么? 输入你的 ossec 服务器的 IP
如果您只是选择默认答案,其他问题应该很好。
完成后运行 sudo /var/ossec/bin/manage_agents
在 ossec / ossim 服务器上
然后添加代理菜单应该看起来像这样:
(A)添加代理(A)。
(E) 为代理提取密钥 (E)。
(L)ist 已经添加代理 (L)。
(R) 删除代理 (R)。
(辞职。
选择你的行动:A、E、L、R 或 Q:a
添加代理,然后提取该代理的密钥
保留此密钥以供日后使用
最后回到代理并运行相同的工具
sudo /var/ossec/bin/manage_agents
选择(I)从服务器导入密钥(I)。
粘贴从ossim服务器获取的密钥并确认。
最后重启ossim服务器(我认为它的 /etc/init.d/ossim-server重新启动)和 ossec 代理(我认为是 /etc/init.d/ossec 重启) 那应该是目标。