OSSEC没有运行

Question

我有两个ec2实例。其中一个安装了ossec服务器，另一个安装了ossec代理。

以下是我的服务器配置INBOUND (安全组/防火墙)：

port:514   source:0.0.0.0/0
port:1514   source:0.0.0.0/0

但它似乎不起作用。在我的代理日志文件中，我一直得到：

2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.

编辑：

运行sudo netstat --inet -nlp | grep ossec。我得到了：

udp        0      0 0.0.0.0:1514            0.0.0.0:*                           26027/ossec-remoted

我在哪里犯错误？

Answer 1

它写着ossec远程(1403)：错误:来自‘我的客户端ip’的错误格式化的消息。

这意味着您导入了错误的身份验证密钥(可能来自不同的代理)，或者您配置的IP地址--代理与服务器所看到的不同。移除并重新添加密钥(确保IP正确)，然后再试一次。

Answer 2

在我的示例中，此错误是由服务器迁移后服务器和代理之间的未同步队列引起的。

队列"/var/ossec/queue/rids“必须从旧服务器复制。另外，请参见关于从OSSEC迁移的建议。

您可以清除windows代理上的Directory "./rid“作为解决办法。

Answer 3

几个月前，我在ossec-hids v2.9.2中也遇到过同样的问题。关于CentOS 7

如果您导入了正确的身份验证密钥，则需要在ossec服务器上启用IPv6，以便能够运行ossec-remoted。记住在对ossec-hids配置进行更改后重新启动IPv6服务。

我不知道是一个特性还是一个bug，但是在启用IPv6之后，ossec-remoted回答了ossec客户端。