Агент Wazuh не подключается

У меня два вопроса. Моя непосредственная проблема - WAZUH-AGENT никогда не подключается к WAZUH-MANAGER

A. Это заставляет меня задуматься: где мы можем предоставить WAZUH MANAGER IP при установке Wazuh Manager?

Б. Я зарегистрировал машины Windows и RHEL как агентов, но ни один из них не может подключиться - все агенты находятся в состоянии НИКОГДА СОЕДИНЕН.

Из окон это ошибка. Я использую порт 1515 и TCP

ОШИБКА: (1216): Невозможно подключиться к "xx.xxx.105.75": "Попытка подключения не удалась, потому что подключенная сторона не ответила должным образом через определенный период времени, или установленное соединение не удалось, потому что подключенный хост не ответил".

Я даже пытался изменить 1515 на 1519 из приложения Kibana-Wazuh. И добавил мой IP-адрес агента в белый список, не уверен, что это имеет значение.

Источник

3 ответа

Отвечаем на ваши вопросы в соответствии с текущей версией wazuh v3.13.1 на сегодняшний день:

[A] Где мы можем предоставить WAZUH MANAGER IP при установке WAZUH Manager?

При установке менеджера вам не нужно настраивать IP-адрес, если вы не настраиваете режим кластера. WAZUH MANAGER IP нужно настроить это в агентах.

После установки агента вам необходимо:

  • Добавьте ip-адрес менеджера в конфигурационный файл /var/ossec/etc/ossec.conf

    <address>MANAGER_IP</address>

  • Зарегистрируйте агента в менеджере. Самый простой способ -

    /var/ossec/bin/agent-auth -m MANAGER_IP

  • Перезагрузите агент wazuh

    systemctl restart wazuh-agent

После выполнения этих шагов ваш агент должен быть подключен и отчитываться перед менеджером.

[B] Я зарегистрировал машины Windows и RHEL в качестве агентов, но ни один из них не может подключиться - все агенты находятся в статусе НИКОГДА НЕ СОЕДИНЕНЫ.

После выполнения описанных выше шагов у вас должно быть соединение агентов с менеджером. Если нет, то необходимо выполнить процесс устранения неполадок.

  • Убедитесь, что агент успешно зарегистрировался в менеджере. Вы можете использовать команду/var/ossec/bin/agent_control -l и посмотрите, зарегистрирован ли у менеджера агент.

  • Убедитесь, что у вас есть соединение с менеджером от агентов.

  • Wazuh использует порты по умолчанию 1515/TCP для регистрации и 1514/UDPдля общения. Убедитесь, что у вас есть соединение через эти порты (проверьте правила брандмауэра...)

  • Чтобы избежать возможных проблем, убедитесь, что версия вашего менеджера >= это версия агента.

  • Проверьте, не произошла ли ошибка в /var/ossec/logs/ossec.log файл.

Надеюсь, эта информация будет вам полезна.

С наилучшими пожеланиями.

Источник

A. Вам нужно будет отредактировать файл ossec.conf и убедиться, что вы правильно указали адрес MANAGER_IP.

B. После того, как вы заполните раздел A. и если открыты порты 1514/1515, вы увидите своего агента в диспетчере. Не забудьте зарегистрировать свой aget у менеджера.

Источник

Думаю тут два шага:1.Редактировать ossec.conf в агенте. чтобы изменить «MANAGER_IP» на реальный IP-адрес менеджера. Это очень важно, и очень легко забыть отредактировать его. 2. Перезапустите Агент.

Источник
Другие вопросы по тегам