Назад | Перейти на главную страницу

Агент wazuh не будет отправлять файловые события, пока не будет перезапущен

Иметь сервер wazuh (вилка ossec) и агент (пока тестируем). сервер получает всю информацию от агента (попытки входа в систему и т. д.), кроме одного - изменения файла (создание, удаление и т. д.). при перезапуске агента вся информация отправляется.

Я убедился, что inotify и инструменты inotify установлены, даже строительный (на всякий случай), но ничего. если агент не будет перезапущен, он не будет отправлять новые обновления на сервер.

ОС ubuntu 16.04

Любые идеи?

Вы должны принять во внимание, что предупреждения об изменении файлов запускаются, когда syscheckd обнаруживает любые изменения по сравнению с предыдущим сканированием, вы можете установить частоту сканирования с помощью option.

При запуске агента также запускается проверка целостности файлов, если <scan_on_start>yes</scan_on_start> (включен по умолчанию) установлен, по этой причине вы получаете предупреждения об изменениях файлов при перезапуске агента.

Также вы можете взглянуть на <realtime> опция, это предупредит вас, когда файл изменится мгновенно.

Здесь вы можете найти официальную документацию https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/syscheck.html

И наш почтовый ящик находится по адресу https://groups.google.com/forum/#!forum/wazuh мы тоже рады помочь вам в этом.

Кроме того, было бы неплохо использовать тег wazuh, мы будем признательны за это, спасибо.

Надеюсь, это может вам помочь.

С уважением