Я установил сервер OSSIM на виртуальную машину и попытался связать с ним агент OSSEC. Мне удалось связать и установить HIDS на клиенте, и он нормально взаимодействует с сервером OSSIM.
Однако в разделе СРЕДА -> ОБНАРУЖЕНИЕ я не могу заставить агента отображаться как активный. Я пробовал это с клиентом Ubuntu и CentOS, но у меня та же проблема с обоими.
Любые советы о том, как получить статус агента в активном.
это намного меньше информации. вы пытаетесь запустить агент на машине с Windows или Linux?
Если вы правильно установили сервер ossim, вы должны установить ossec hids на операционную систему агента и настроить его для работы в качестве агента. выполните следующие действия, если вы еще этого не сделали, чтобы настроить агент на хосте Linux.
sudo ./install.sh
1- Какую установку вы хотите (серверную, агентскую, локальную, гибридную или вспомогательную)? записывать агент
затем позже этот вопрос: Какой IP-адрес или имя хоста сервера OSSEC HIDS? введите свой ip с сервера ossec
другие вопросы должны быть хорошими, если вы просто выберете ответы по умолчанию.
по завершении запустите sudo / var / ossec / bin / manage_agents
на сервере ossec / ossim
затем добавьте агента, меню должно выглядеть примерно так:
(A) агент (A).
(E) ключ для извлечения агента (E).
(L) это уже добавленные агенты (L).
(R) уберите агента (R).
(Уволиться.
Выберите действие: A, E, L, R или Q: a
добавьте агента, а затем извлеките ключ для этого агента
сохраните этот ключ для дальнейшего использования
наконец, вернитесь к агенту и запустите тот же инструмент
sudo / var / ossec / bin / manage_agents
выберите (I) ключ mport с сервера (I).
вставьте ключ, полученный от сервера ossim, и подтвердите.
наконец перезапустите сервер ossim (я думаю, что это /etc/init.d/ossim-server перезапуск) и агент ossec (я думаю, что это перезапуск /etc/init.d/ossec) это должно быть целью.