У меня есть два экземпляра ec2. В одном я установил сервер ossec, а в другом я установил агент ossec.
Вот моя конфигурация сервера INBOUND (группа безопасности / межсетевой экран):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Но вроде не работает. В моем файле журнала агента я продолжаю получать:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Бег sudo netstat --inet -nlp | grep ossec. Я собираюсь:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
Где я делаю ошибку?
Он говорит: ossec-удаленный (1403): ОШИБКА: неверно сформированное сообщение от «моего клиентского IP».
Это означает, что вы импортировали неправильные ключи аутентификации (возможно, от другого агента) или IP-адрес, который вы настроили для агента, отличается от того, что видит сервер. Удаление и повторное добавление ключа (убедитесь, что IP правильный) и повторите попытку.
Несколько месяцев назад я столкнулся с той же проблемой с ossec-hids v2.9.2. на CentOS 7
Если вы импортировали правильные ключи аутентификации, вам необходимо включить IPv6 на сервере ossec, чтобы иметь возможность запускать ossec-remoted. Не забудьте перезапустить ossec-hids сервис после внесения изменений в конфигурацию IPv6.
Я не знаю, это функция или ошибка, но после включения IPv6 ossec-remoted ответили оссек-клиенты.