翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-configuration.html
集中代理配置
如果您希望能够远程配置代理,那么您将很高兴地知道,从2.1版开始,您将能够做到这一点。我们允许集中配置文件完整性检查(syscheckd)、rootkit检测(rootcheck)和日志分析。
工作原理如下
创建代理配置
首先创建文件/var/ossec/etc/shared/agent.conf。
在文件中,您可以像往常一样在ossec.conf中配置代理
只有适当的代理才会读取它们,给我们很大的粒度来将配置推给所有代理。
配置好之后,管理器将把它推送给代理。注意,它可能需要一段时间才能完成(因为管理器缓存了共享文件,并且每隔几个小时才重新读取一次)。如果重新启动管理器,配置将会被更快地推进。
启动代理
完成配置文件之后,您就可以运行命令agent_control来查看代理是否接收了配置并远程重新启动代理。
Linux系统通常使用md5sum,但是其他系统可能使用md5作为应用程序的名称来检查文件的散列。
集中代理配置
如果您希望能够远程配置代理,那么您将很高兴地知道,从2.1版开始,您将能够做到这一点。我们允许集中配置文件完整性检查(syscheckd)、rootkit检测(rootcheck)和日志分析。
工作原理如下
创建代理配置
首先创建文件/var/ossec/etc/shared/agent.conf。
在文件中,您可以像往常一样在ossec.conf中配置代理
<agent_config>
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
但是你还有更多的选择。您可以通过代理名称、操作系统或配置文件来限制配置:
<agent_config name="agent1">
<localfile>
<location>/var/log/my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
<agent_config os="Linux">
<localfile>
<location>/var/log/my.log2</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
<agent_config os="Windows">
<localfile>
<location>C:\myapp\my.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
只有适当的代理才会读取它们,给我们很大的粒度来将配置推给所有代理。
配置好之后,管理器将把它推送给代理。注意,它可能需要一段时间才能完成(因为管理器缓存了共享文件,并且每隔几个小时才重新读取一次)。如果重新启动管理器,配置将会被更快地推进。
启动代理
完成配置文件之后,您就可以运行命令agent_control来查看代理是否接收了配置并远程重新启动代理。
# md5sum /var/ossec/etc/shared/agent.conf
MD5 (/var/ossec/etc/shared/agent.conf) = ee1882236893df851bd9e4842007e7e7
# /var/ossec/bin/agent_control -i 200
OSSEC HIDS agent_control. Agent information:
Agent ID: 200
Agent Name: ourhome
IP address: 192.168.0.0/16
Status: Active
Operating system: Linux ourhome 2.6.24-23-generic #1 SMP Mon Jan 26 00..
Client version: OSSEC HIDS v2.1 / ee1882236893df851bd9e4842007e7e7
Last keep alive: Tue Jun 30 08:29:17 2009
Syscheck last started at: Tue Jun 30 04:29:32 2009
Rootcheck last started at: Tue Jun 30 06:03:08 2009
当代理接收到配置时,“客户端版本”字段将拥有agent.conf的md5sum。
Linux系统通常使用md5sum,但是其他系统可能使用md5作为应用程序的名称来检查文件的散列。
启动:
# /var/ossec/bin/agent_control -R 200 (where 200 is the agent id)
OSSEC HIDS agent_control: Restarting agent: 200