Блог

Я начинаю работу с OSSEC и хочу настроить Windows agent. Я следил за документацией и этим. Мой сервер — это виртуальная машина ubuntu, и я хочу иметь агент Windows.

Это и есть выход активных веществ.

виртуальная машина:/var/ossec/etc# /var/ossec/bin/list_agents -c ** Агент недоступен.

виртуальная машина:~/ossec-hids-3.2.0# tcpdump -i ens3 src 192.168.8.69

tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола

прослушивание на ens3, тип канала EN10MB (Ethernet), размер записи 262144 байта

13:44:30.979244 IP 192.168.8.69.55341 > 10.0.0.4.ssh: флаги [.], ack >1445060350, выигрыш 16319, длина 0

Это список уже добавленных агентов.

Доступные агенты: Идентификатор: 003, Имя: WindowsAgent, IP: 192.168.8.69

И вот мой менеджер агентов Windows.

На стороне сервера я отключил брандмауэр.

Может быть, мне следует отключить брандмауэр также на стороне клиента? Также я не очень уверен в IP-адресе на стороне сервера — но это форма вывода ifconfig.

Я допустил ошибку, предположив, что IP-адрес ifconfig — это тот, который я должен подключать. Мой сервер находится на виртуальной машине, которую я подключаю через SSH к заданному IP-адресу, и этот IP-адрес является IP-адресом сервера OSSEC.

Вот команда для проверки, используется ли порт 1514.

tcpdump -i ens3 -nn host 192.168.8.69 and port 1514

Он показывает, используете ли вы определенный порт.

Кроме того, я советую проверить ossec.log в папке ossec-agent.