Назад | Перейти на главную страницу

OSSEC - не отображаются предупреждения на сервере об изменениях файлов на агенте

У меня установлены и настроены сервер OSSEC и агент. Я импортировал ключ агенту, и, похоже, они обмениваются данными. Однако я пытаюсь протестировать функцию мониторинга целостности файлов и не получаю предупреждений.

Я последовал за: https://blog.wazuh.com/configure-ossec-to-report-changes-in-the-content-of-a-text-file/ но в / var / ossec / queue / diff / папок нет (я немного ждал по инструкциям)

Я вижу, что агент отправляет предупреждения в журнале alert.log на сервере, но в основном это случайные сообщения «Сеанс входа в систему закрыт», «Сеанс входа открыт» и т. Д., Но это все.

Возможно, это связано с тем, что я также попытался удаленно перезапустить агент, используя / var / ossec / bin / agent_control -R agent_id, который, похоже, успешно выполняется в диспетчере, но журнал ossec.log на агенте не показывает перезапуск.

Я просто хочу увидеть, как он делает свое дело. Alerts.log - единственный способ? Все кажется немного невосприимчивым.

ОБНОВЛЕНИЕ: я вижу выполнение sudo для root, когда я редактирую файл в / test (по ссылке выше), поэтому он должен быть в коммуникаторе. Кроме того, он предупреждает об ошибках входа в систему ssh. Мониторинг в реальном времени включен, я установил частоту 30 секунд, уровень предупреждения журнала установлен на 1, и сервер и агент были перезапущены.