2

我已经通过二进制安装(使用 preloaded_var.conf)安装了服务器和代理。服务器上 agent.conf 文件中的更改在代理上更新,但是当我重新启动代理时,agent.conf 中的更改没有运行。

当我使用 verify-agent-conf 时,我得到 ERROR: Unable to open file '/queue/ossec/.agent_info' 并且没有其他错误。

代理.conf:

enter code here

                <localfile>
                <log_format>syslog</log_format>
                <location>/var/log/output.log</location>
                <alias>SAS LOG ALERT</alias>
                </localfile> 

                <localfile>
                <log_format>full_command</log_format>
                <command>netstat -ulpn|grep LISTEN |grep -v 127.0.0.1              | sort 
                </command>
                <alias>UDP Port Scan Alert  </alias>
                <frequency>3600</frequency>
                </localfile>

               <!-- Check Ossec process CPU usage in all Agent Machines -->
             <localfile>
             <log_format>full_command</log_format>
             <command>ps -eo pcpu,pid,user,args| grep ossec</command>
             <alias>Agent Process Details</alias>
             <frequency>3600</frequency>
             </localfile>
4

1 回答 1

0

默认情况下,代理不会接受来自集中配置的命令。代理必须明确配置为接受远程命令,您可以通过logcollector.remote_commands=1/var/ossec/etc/local_internal_options.conf.

您可以在此处找到有关集中配置的更多信息:https ://documentation.wazuh.com/4.0/user-manual/reference/centralized-configuration.html 。

于 2021-01-15T09:46:01.660 回答