ossec ag​​ent.conf已更新但未读取

时间:2016-04-29 14:22:08

标签: intrusion-detection

我已经通过二进制安装(使用preloaded_var.conf)安装了服务器和代理。服务器上的agent.conf文件中的更改在代理上更新,但是当我重新启动代理时,agent.conf中的更改不是运行

当我使用verify-agent-conf时,我收到错误:无法打开文件'/queue/ossec/.agent_info'而没有其他错误。

agent.conf:

enter code here

                <localfile>
                <log_format>syslog</log_format>
                <location>/var/log/output.log</location>
                <alias>SAS LOG ALERT</alias>
                </localfile> 

                <localfile>
                <log_format>full_command</log_format>
                <command>netstat -ulpn|grep LISTEN |grep -v 127.0.0.1              | sort 
                </command>
                <alias>UDP Port Scan Alert  </alias>
                <frequency>3600</frequency>
                </localfile>

               <!-- Check Ossec process CPU usage in all Agent Machines -->
             <localfile>
             <log_format>full_command</log_format>
             <command>ps -eo pcpu,pid,user,args| grep ossec</command>
             <alias>Agent Process Details</alias>
             <frequency>3600</frequency>
             </localfile>

1 个答案:

答案 0 :(得分:0)

默认情况下,代理不会接受来自集中配置的命令。代理必须明确配置为接受远程命令,您可以通过在 logcollector.remote_commands=1 中设置 /var/ossec/etc/local_internal_options.conf 来启用此功能。

您可以在此处找到有关集中式配置的更多信息:https://documentation.wazuh.com/4.0/user-manual/reference/centralized-configuration.html