ossec agent.conf обновлен, но не прочитан

Я установил сервер и агент с помощью двоичной установки (с preloaded_var.conf). Изменения в файле agent.conf на сервере обновляются на агенте, но когда я перезапускаю агент, изменения в agent.conf не выполняются.

Когда я использовал verify-agent-conf , я получаю ОШИБКУ: невозможно открыть файл «/queue/ossec/.agent_info» и никаких других ошибок.

агент.конф :

enter code here

                <localfile>
                <log_format>syslog</log_format>
                <location>/var/log/output.log</location>
                <alias>SAS LOG ALERT</alias>
                </localfile> 

                <localfile>
                <log_format>full_command</log_format>
                <command>netstat -ulpn|grep LISTEN |grep -v 127.0.0.1              | sort 
                </command>
                <alias>UDP Port Scan Alert  </alias>
                <frequency>3600</frequency>
                </localfile>

               <!-- Check Ossec process CPU usage in all Agent Machines -->
             <localfile>
             <log_format>full_command</log_format>
             <command>ps -eo pcpu,pid,user,args| grep ossec</command>
             <alias>Agent Process Details</alias>
             <frequency>3600</frequency>
             </localfile>

intrusion-detection
person Chandira Mouli    schedule 29.04.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

По умолчанию агенты не будут принимать команды из централизованной конфигурации. Агенты должны быть явно настроены для приема удаленных команд, вы можете включить это, установив logcollector.remote_commands=1 в файле /var/ossec/etc/local_internal_options.conf.

Дополнительную информацию о централизованной настройке можно найти здесь: https://documentation.wazuh.com/4.0/user-manual/reference/centralized-configuration.html .

person s-ocando    schedule 15.01.2021