Назад | Перейти на главную страницу

Агент OSSEC связан с сервером OSSIM

Я установил сервер OSSIM на виртуальную машину и попытался связать с ним агент OSSEC. Мне удалось связать и установить HIDS на клиенте, и он нормально взаимодействует с сервером OSSIM.

Однако в разделе СРЕДА -> ОБНАРУЖЕНИЕ я не могу заставить агента отображаться как активный. Я пробовал это с клиентом Ubuntu и CentOS, но у меня та же проблема с обоими.

Любые советы о том, как получить статус агента в активном.

Ссылка: https://www.youtube.com/watch?v=JVmvgLS81wk

это намного меньше информации. вы пытаетесь запустить агент на машине с Windows или Linux?

Если вы правильно установили сервер ossim, вы должны установить ossec hids на операционную систему агента и настроить его для работы в качестве агента. выполните следующие действия, если вы еще этого не сделали, чтобы настроить агент на хосте Linux.

sudo ./install.sh

1- Какую установку вы хотите (серверную, агентскую, локальную, гибридную или вспомогательную)? записывать агент

затем позже этот вопрос: Какой IP-адрес или имя хоста сервера OSSEC HIDS? введите свой ip с сервера ossec

другие вопросы должны быть хорошими, если вы просто выберете ответы по умолчанию.

по завершении запустите sudo / var / ossec / bin / manage_agents

на сервере ossec / ossim

затем добавьте агента, меню должно выглядеть примерно так:

(A) агент (A).

(E) ключ для извлечения агента (E).

(L) это уже добавленные агенты (L).

(R) уберите агента (R).

(Уволиться.

Выберите действие: A, E, L, R или Q: a

добавьте агента, а затем извлеките ключ для этого агента

сохраните этот ключ для дальнейшего использования

наконец, вернитесь к агенту и запустите тот же инструмент

sudo / var / ossec / bin / manage_agents

выберите (I) ключ mport с сервера (I).

вставьте ключ, полученный от сервера ossim, и подтвердите.

наконец перезапустите сервер ossim (я думаю, что это /etc/init.d/ossim-server перезапуск) и агент ossec (я думаю, что это перезапуск /etc/init.d/ossec) это должно быть целью.