Zdravím,
možná to není uplně na toto forum, ale najde se někdo, kdo hoví softwaru OSSEC? Běží mi na Ubuntu 12.04 LTS, lokálně se zdá, že to nějak funguje, i s přehledným webovým rozhraním, ale nedaří se mi propojit vzdálené stroje..návodů pár je, na
http://ossec.net je i slušná dokumentace, ale prostě ne a ne...zkoušel jsem přidat sekci "remote" do conf souboru ossec.conf dle dokumentace:
<remote>
<connection>secure</connection>
<allowed-ips>192.168.2.0/24</allowed-ips>
<local_ip>192.168.2.57</local_ip>
<port>1514</port>
</remote>
....uplně poprvé to nějak "zafungovalo", alespoň v tom smyslu, že "/etc/init.d/ossec status" řekl:
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
ossec-agentlessd is running...
..jenže nevím co se událo, že teď to prostě nejde:
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted not running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
ossec-agentlessd is running...
Vždy po restartu služby "ossec" mi to do logu hodí jen:
2012/09/03 09:53:31 ossec-remoted: INFO: Started (pid: 5891).
2012/09/03 09:53:31 ossec-remoted: Remote syslog allowed from: '192.168.2.0/24'...což nevypadá sice errorově, nicméně na portu 1514 nic nenaslouchá (viz netstat) a výpis služeb přes "ps" na PID 5891 mlčí
tcpdump na serveru říká:
root@domatestx64:~# tcpdump -i eth0 dst port 1514 -vv
09:33:25.612634 IP (tos 0x0, ttl 64, id 41063, offset 0, flags [DF], proto UDP (17), length 101)
domatest.43732 > domatestx64.1514: UDP, length 73
09:33:31.613822 IP (tos 0x0, ttl 64, id 41064, offset 0, flags [DF], proto UDP (17), length 101)
domatest.43732 > domatestx64.1514: UDP, length 73
09:33:41.616240 IP (tos 0x0, ttl 64, id 41065, offset 0, flags [DF], proto UDP (17), length 101)
.....
.....
......čili na serveru zkouším poslouchat na portu 1514...k pokusu o navázání tedy pravděpodobně dojde, ale žádný log mi neřekne, na čem to končí..
V konfiguráku internal_options.conf jde povolit:
# Remoted (server debug)
remoted.debug=1
..jenže rozšířené logování v ossec.log nevidím a nový soubor s tímto debugem se také nevytvořil, takže nevím, kde tento debug hledat. Možná by pomohl reinstall služby, abych začal zase od znova (pač poprvé se to nějak rozeběhlo...alespoň psalo, že služba "is running..."). Logy z klientského stroje jsem sice na serveru i tak neviděl, ale dostat se do tohoto stavu znovu by mě posunulo dál...
za jakýkoliv nápad díky..