我已经通过二进制安装(使用preloaded_var.conf)安装了服务器和代理。服务器上的agent.conf文件中的更改在代理上更新,但是当我重新启动代理时,agent.conf中的更改不是运行
当我使用verify-agent-conf时,我收到错误:无法打开文件'/queue/ossec/.agent_info'而没有其他错误。
agent.conf:
enter code here
<localfile>
<log_format>syslog</log_format>
<location>/var/log/output.log</location>
<alias>SAS LOG ALERT</alias>
</localfile>
<localfile>
<log_format>full_command</log_format>
<command>netstat -ulpn|grep LISTEN |grep -v 127.0.0.1 | sort
</command>
<alias>UDP Port Scan Alert </alias>
<frequency>3600</frequency>
</localfile>
<!-- Check Ossec process CPU usage in all Agent Machines -->
<localfile>
<log_format>full_command</log_format>
<command>ps -eo pcpu,pid,user,args| grep ossec</command>
<alias>Agent Process Details</alias>
<frequency>3600</frequency>
</localfile>
答案 0 :(得分:0)
默认情况下,代理不会接受来自集中配置的命令。代理必须明确配置为接受远程命令,您可以通过在 logcollector.remote_commands=1 中设置 /var/ossec/etc/local_internal_options.conf 来启用此功能。
您可以在此处找到有关集中式配置的更多信息:https://documentation.wazuh.com/4.0/user-manual/reference/centralized-configuration.html。