一种部署方案是创建一个 OSSEC 服务器,然后将 OSSEC 代理安装在您希望监视安全事件的所有设备上。
关于 DHCP 配置的 OSSEC 代理,您可以查看“NAT 后面的代理系统或使用动态 IP (DHCP)” http://www.ossec.net/doc/manual/agent/agent-dhcp-nat.html
如果您有一个特定的 DHCP 或网络范围,您希望任何 OSSEC 代理能够使用并能够连接到 OSSEC 服务器,那么您可以修改 ossec.conf 文件中的以下行(摘自 OSSEC 书籍的片段):
我们还可以使用<allowed-ips></allowed-ips>
标签明确说明我们允许从哪个 IP 地址进行连接。在以下示例中,我们将<allowed-ips></allowed-ips>
标签与标签结合使用,<connection></connection>
以指示我们期望来自 192.168.10.0/24 网络的 OSSEC HIDS 代理连接
<ossec_config>
<remote>
<connection>secure</connection>
<allowed-ips>192.168.10.0/24</allowed-ips>
</remote>
</ossec_config>