Eu tenho duas instâncias ec2. Em um eu instalei o servidor ossec e em outro instalei o agente ossec.
Aqui está minha configuração de servidor INBOUND (security group / firewall):
port:514 source:0.0.0.0/0
port:1514 source:0.0.0.0/0
Mas parece que não está funcionando. No meu arquivo de log do agente, continuo recebendo:
2012/08/28 06:52:52 ossec-agentd: INFO: Using IPv4 for: x.x.x.x.x.x .
2012/08/28 06:53:13 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: 'x.x.x.x.x'.
Executando sudo netstat --inet -nlp | grep ossec . Estou recebendo:
udp 0 0 0.0.0.0:1514 0.0.0.0:* 26027/ossec-remoted
Onde estou cometendo o erro?
It says ossec-remoted(1403): ERROR: Incorrectly formated message from 'my client ip'.
Isso significa que você importou as chaves de autenticação incorretas (talvez de um agente diferente) ou o endereço IP que configurou o agente é diferente do que o servidor está vendo. Removendo e adicionando novamente a chave (verifique se o IP está correto) e tente novamente.
Eu enfrentei o mesmo problema há alguns meses com o ossec-hids v2.9.2. no CentOS 7
Se você importou as chaves de autenticação corretas, é necessário ativar o IPv6 no servidor ossec para poder executar ossec-remoted . Lembre-se de reiniciar o serviço ossec-hids depois de fazer as alterações na configuração do IPv6.
Eu não sei se é um recurso ou um bug, mas depois de ativar o IPv6%, oossec-remoted respondeu ao ossec-clients.