Агент OSSEC, связанный с сервером OSSIM
я установил сервер OSSIM на виртуальную машину и попытался связать с ним агент OSSEC. Мне удалось связать и установить HIDS на клиенте, и он нормально взаимодействует с сервером OSSIM.
Однако в ОКРУЖАЮЩЕЙ СРЕДЕ -> В разделе ОБНАРУЖЕНИЕ я не могу сделать так, чтобы агент отображался как активный. Я пробовал это с клиентом Ubuntu и CentOS, но у меня та же проблема с обоими.
Любые советы о том, как сделать агент активным.
это гораздо меньше информации. вы пытаетесь запустить агент на машине с Windows или Linux?
если вы правильно установили сервер ossim, вы должны установить ossec hids на ОС агента и настроить его для работы в качестве агента. выполните следующие действия, если вы еще этого не сделали, чтобы настроить агент на хосте Linux.
sudo ./install.sh
1 - Какой тип установки вы хотите (сервер, агент, локальный, гибридный или справочный) ? напишите агенту
, а затем ответьте на этот вопрос: Какой IP-адрес или имя хоста у сервера OSSEC HIDS? введите свой IP-адрес с сервера ossec
, остальные вопросы должны быть хорошими, если вы просто выберете ответы по умолчанию.
после завершения работы sudo / var / ossec / bin / manage_agents
на сервере ossec / ossim
, затем добавьте агента меню должно выглядеть примерно так:
(A) dd агент (A).
(E) получить ключ для агента (E).
(L) это уже добавленные агенты (L).
(R) вызовите агента (R).
(Q) uit.
Выберите действие: A, E, L, R или Q: a
добавьте агента, а затем извлеките ключ для этого агента
сохраните этот ключ для дальнейшего использования
наконец вернитесь к агенту и запустите тот же инструмент
sudo / var / ossec / bin / manage_agents
выберите (I) ключ mport с сервера (I).
вставьте ключ, который вы получили от сервера ossim, и подтвердите.
наконец перезапустите сервер ossim (я думаю, его /etc/init.d/ossim-server перезапуск) и агент ossec (я думаю, это перезапуск /etc/init.d/ossec) это должно быть целью.