从AWS [Ec2]用户数据运行时，Wazuh无法正常工作

Question

在用户数据脚本中启动Wazuh服务时，模块无法工作。服务启动，在ossec日志中没有任何内容，但是仪表板中没有显示任何内容。Fim在i ssh进入实例后开始工作，并执行systemctl重新启动wazuh。我的用户数据脚本如下(省略了变量赋值)：

yum update -y; WAZUH_MANAGER="${WAZUH_WORKER}" WAZUH_REGISTRATION_SERVER="${WAZUH_AUTH}" WAZUH_AGENT_NAME="${AGENT_NAME}" WAZUH_AGENT_GROUP="default" WAZUH_REGISTRATION_PASSWORD="${AUTH_PASSWORD}" yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.3.9-1.x86_64.rpm; systemctl daemon-reload; systemctl enable wazuh-agent; systemctl start wazuh-agent;

我在使用集中式代理配置。不确定agent.conf是否没有被提取到用户数据中，因为它最终会在我进入实例时被提取。

预期的结果是，瓦祖赫代理人正常工作，一旦他们发生改变，就会发送给仪表板。我得到的是fim模块什么也没做，直到wazuh代理服务在进入实例后重新启动。

Answer 1

我根据您的脚本做了一些测试，我发现了以下内容：

• FIM正在正常工作，在我的例子中，t2的文件清单正在被监控。从EC2发布之时起，微型Amazon 2机器需要大约9分钟的时间才能完成。
• 正在将agent.conf文件导入到最近启动的端点，而没有将SSHing导入到主机中，我通过检查此代理的配置以实现Wazuh中的完整性监视，从而确认了这一点，在该配置中，我将<directories check_all="yes" whodata="yes">/root</directories>添加到默认配置中，可以在此处找到：默认syscheck配置

我使用的第一个脚本：

#!/bin/bash
yum update -y; WAZUH_MANAGER='172.30.0.5' WAZUH_REGISTRATION_PASSWORD='please123' WAZUH_AGENT_GROUP='linuxtest' yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.3.8-1.x86_64.rpm; systemctl daemon-reload; systemctl enable wazuh-agent; systemctl start wazuh-agent; touch /root/carlostest

我假设它可以在生成正在监视的文件清单之后检测到更改，因此我添加了一个sleep 600来测试这个问题，并且它是成功的，我得到了一个“文件添加到系统”rule.id 554。

我使用的第二个脚本：

#!/bin/bash
yum update -y; WAZUH_MANAGER='172.30.0.5' WAZUH_REGISTRATION_PASSWORD='please123' WAZUH_AGENT_GROUP='linuxtest' yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.3.8-1.x86_64.rpm; systemctl daemon-reload; systemctl enable wazuh-agent; systemctl start wazuh-agent; sleep 600; touch /root/carlostest

注意:我使用的是Wazu4.3.8，因为我已经有了这个版本的测试环境，我注意到您正在使用4.3.9，但是我认为这个小的更新不会有太大变化，但是您仍然可以通过更改链接来用不同的版本进行测试，看看会发生什么

我希望这些信息对你有帮助，让我知道

编辑：要记住默认配置不会实时通知更改，这就是为什么我将whodata添加到正在测试的目录中。您可能只是在wazuh重新启动时检测到这些更改，因为这是<scan_on_start>yes</scan_on_start>上默认配置的一部分。我建议您查看以下文档：

• 文件完整性监控- Wazuh
• syscheck