OSSEC文件——集中代理配置
阿新 • • 發佈:2019-02-14
翻譯:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-configuration.html
集中代理配置
如果您希望能夠遠端配置代理,那麼您將很高興地知道,從2.1版開始,您將能夠做到這一點。我們允許集中配置檔案完整性檢查(syscheckd)、rootkit檢測(rootcheck)和日誌分析。
工作原理如下
建立代理配置
首先建立檔案/var/ossec/etc/shared/agent.conf。
在檔案中,您可以像往常一樣在ossec.conf中配置代理
只有適當的代理才會讀取它們,給我們很大的粒度來將配置推給所有代理。
配置好之後,管理器將把它推送給代理。注意,它可能需要一段時間才能完成(因為管理器快取了共享檔案,並且每隔幾個小時才重新讀取一次)。如果重新啟動管理器,配置將會被更快地推進。
啟動代理
完成配置檔案之後,您就可以執行命令agent_control來檢視代理是否接收了配置並遠端重新啟動代理。
Linux系統通常使用md5sum,但是其他系統可能使用md5作為應用程式的名稱來檢查檔案的雜湊。
集中代理配置
如果您希望能夠遠端配置代理,那麼您將很高興地知道,從2.1版開始,您將能夠做到這一點。我們允許集中配置檔案完整性檢查(syscheckd)、rootkit檢測(rootcheck)和日誌分析。
工作原理如下
建立代理配置
首先建立檔案/var/ossec/etc/shared/agent.conf。
在檔案中,您可以像往常一樣在ossec.conf中配置代理
但是你還有更多的選擇。您可以通過代理名稱、作業系統或配置檔案來限制配置:<agent_config> <localfile> <location>/var/log/my.log</location> <log_format>syslog</log_format> </localfile> </agent_config>
<agent_config name="agent1"> <localfile> <location>/var/log/my.log</location> <log_format>syslog</log_format> </localfile> </agent_config> <agent_config os="Linux"> <localfile> <location>/var/log/my.log2</location> <log_format>syslog</log_format> </localfile> </agent_config> <agent_config os="Windows"> <localfile> <location>C:\myapp\my.log</location> <log_format>syslog</log_format> </localfile> </agent_config>
只有適當的代理才會讀取它們,給我們很大的粒度來將配置推給所有代理。
配置好之後,管理器將把它推送給代理。注意,它可能需要一段時間才能完成(因為管理器快取了共享檔案,並且每隔幾個小時才重新讀取一次)。如果重新啟動管理器,配置將會被更快地推進。
啟動代理
完成配置檔案之後,您就可以執行命令agent_control來檢視代理是否接收了配置並遠端重新啟動代理。
當代理接收到配置時,“客戶端版本”欄位將擁有agent.conf的md5sum。# md5sum /var/ossec/etc/shared/agent.conf MD5 (/var/ossec/etc/shared/agent.conf) = ee1882236893df851bd9e4842007e7e7 # /var/ossec/bin/agent_control -i 200 OSSEC HIDS agent_control. Agent information: Agent ID: 200 Agent Name: ourhome IP address: 192.168.0.0/16 Status: Active Operating system: Linux ourhome 2.6.24-23-generic #1 SMP Mon Jan 26 00.. Client version: OSSEC HIDS v2.1 / ee1882236893df851bd9e4842007e7e7 Last keep alive: Tue Jun 30 08:29:17 2009 Syscheck last started at: Tue Jun 30 04:29:32 2009 Rootcheck last started at: Tue Jun 30 06:03:08 2009
Linux系統通常使用md5sum,但是其他系統可能使用md5作為應用程式的名稱來檢查檔案的雜湊。
啟動:
# /var/ossec/bin/agent_control -R 200 (where 200 is the agent id)
OSSEC HIDS agent_control: Restarting agent: 200