翻譯：http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-configuration.html

集中代理配置

如果您希望能夠遠端配置代理，那麼您將很高興地知道，從2.1版開始，您將能夠做到這一點。我們允許集中配置檔案完整性檢查(syscheckd)、rootkit檢測(rootcheck)和日誌分析。

工作原理如下


建立代理配置


首先建立檔案/var/ossec/etc/shared/agent.conf。

在檔案中，您可以像往常一樣在ossec.conf中配置代理

        <agent_config>
            <localfile>
                <location>/var/log/my.log</location>
                <log_format>syslog</log_format>
            </localfile>
        </agent_config>
 

但是你還有更多的選擇。您可以通過代理名稱、作業系統或配置檔案來限制配置：
            

<agent_config name="agent1">
    <localfile>
        <location>/var/log/my.log</location>
        <log_format>syslog</log_format>
    </localfile>
</agent_config>

<agent_config os="Linux">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog</log_format>
    </localfile>
</agent_config>

<agent_config os="Windows">
    <localfile>
        <location>C:\myapp\my.log</location>
        <log_format>syslog</log_format>
    </localfile>
</agent_config>
 

只有適當的代理才會讀取它們，給我們很大的粒度來將配置推給所有代理。

配置好之後，管理器將把它推送給代理。注意，它可能需要一段時間才能完成(因為管理器快取了共享檔案，並且每隔幾個小時才重新讀取一次)。如果重新啟動管理器，配置將會被更快地推進。


啟動代理


完成配置檔案之後，您就可以執行命令agent_control來檢視代理是否接收了配置並遠端重新啟動代理。
        

# md5sum /var/ossec/etc/shared/agent.conf
MD5 (/var/ossec/etc/shared/agent.conf) = ee1882236893df851bd9e4842007e7e7
# /var/ossec/bin/agent_control -i 200

OSSEC HIDS agent_control. Agent information:
Agent ID: 200
Agent Name: ourhome
IP address: 192.168.0.0/16
Status: Active

Operating system: Linux ourhome 2.6.24-23-generic #1 SMP Mon Jan 26 00..
Client version: OSSEC HIDS v2.1 / ee1882236893df851bd9e4842007e7e7
Last keep alive: Tue Jun 30 08:29:17 2009

Syscheck last started at: Tue Jun 30 04:29:32 2009
Rootcheck last started at: Tue Jun 30 06:03:08 2009
 

當代理接收到配置時，“客戶端版本”欄位將擁有agent.conf的md5sum。


Linux系統通常使用md5sum，但是其他系統可能使用md5作為應用程式的名稱來檢查檔案的雜湊。

啟動：

# /var/ossec/bin/agent_control -R 200 (where 200 is the agent id)

OSSEC HIDS agent_control: Restarting agent: 200