Ossec添加Agent端流程總結

(1) 服務器上添加客戶端

在服務器上添加客戶端，執行如下命令，按照提示進行輸入，紅色部分是我們輸入的：

[root@ossec-server logs]# /var/ossec/bin/manage_agents

 

   ****************************************

   * OSSEC HIDS v2.7 Agent manager.     *

   * The following options are available: *

   ****************************************

      (A)dd an agent (A).

      (E)xtract key for an agent (E).

      (L)ist already added agents (L).

      (R)emove an agent (R).

      (Q)uit.

Choose your action: A,E,L,R or Q: A
•Adding a new agent (use '\q' to return to the main menu). Please provide the following:
◦A name for the new agent: ossec-agent
◦The IP Address of the new agent: 192.168.100.104
◦An ID for the new agent[001]: Agent information: ID:001 Name:ossec-agent IP Address:192.168.100.104

Confirm adding it?(y/n): y Agent added.

然后程序會重新進入到第一次的界面，如下，我們導出剛才添加的那個agent的key，用於后面的客戶端連接到服務端：

   ****************************************

   * OSSEC HIDS v2.7 Agent manager.     *

   * The following options are available: *

   ****************************************

      (A)dd an agent (A).

      (E)xtract key for an agent (E).

      (L)ist already added agents (L).

      (R)emove an agent (R).

      (Q)uit.

Choose your action: A,E,L,R or Q: E

Available agents: ID: 001, Name: ossec-agent, IP: 192.168.100.104 Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz

** Press ENTER to return to the main menu.

(2) 安裝OSSEC客戶端

由於我們本身客戶端也是Linux服務器，而ossec的服務端和客戶端是同一個安裝包，所以在客戶端上下載安裝包，並且解壓安裝，如下。

 [root@ossec-server ~]# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz

[root@ossec-server ~]# tar zxf ossec-hids-2.7.tar.gz

[root@ossec-server ~]# cd ossec-hids-2.7

[root@ossec-server ~]# ./install.sh

** Para instalação em português, escolha [br]. ** 要使用中文進行安裝, 請選擇 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** A Magyar nyelvű telepítéshez válassza [hu]. ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします．選択して下さい．[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalować w języku Polskim, wybierz [pl][/pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn OSSEC HIDS v2.7 安裝腳本 - http://www.ossec.net

您將開始 OSSEC HIDS 的安裝. 請確認在您的機器上已經正確安裝了 C 編譯器. 如果您有任何疑問或建議,請給 dcid@ossec.net (或 daniel.cid@gmail.com) 發郵件.
•系統類型: Linux ossec-agent 2.6.18-164.el5
•用戶: root
•主機: ossec-agent

-- 按 ENTER 繼續或 Ctrl-C 退出. --

1- 您希望哪一種安裝 (server, agent, local or help)? agent
•選擇了 Agent(client) 類型的安裝.

2- 正在初始化安裝環境.
•請選擇 OSSEC HIDS 的安裝路徑 [/var/ossec]: /opt/ossec
◦OSSEC HIDS 將安裝在 /opt/ossec .

3- 正在配置 OSSEC HIDS.

3.1- 請輸入 OSSEC HIDS 服務器的IP地址或主機名: 192.168.***.***
•添加服務器IP 192.168.***.***

3.2- 您希望運行系統完整性檢測模塊嗎? (y/n) [y]:
•系統完整性檢測模塊將被部署.

3.3- 您希望運行 rootkit檢測嗎? (y/n) [y]:
•rootkit檢測將被部署.

3.4 - 您希望開啟聯動(active response)功能嗎? (y/n) [y]:

3.5- 設置配置文件以分析一下日志: -- /var/log/messages -- /var/log/secure -- /var/log/xferlog -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log)

-如果你希望監控其他文件, 只需要在配置文件ossec.conf中 添加新的一項. 任何關於配置的疑問您都可以在 http://www.ossec.net 找到答案.

--- 按 ENTER 以繼續 ---

5- 正在安裝系統 - 正在運行Makefile INFO: Little endian set.

…………省略編譯輸出…………
•系統類型是 Redhat Linux.
•修改啟動腳本使 OSSEC HIDS 在系統啟動時自動運行
•已正確完成系統配置.
•要啟動 OSSEC HIDS: /opt/ossec/bin/ossec-control start
•要停止 OSSEC HIDS: /opt/ossec/bin/ossec-control stop
•要查看或修改系統配置,請編輯 /opt/ossec/etc/ossec.conf

感謝使用 OSSEC HIDS. 如果您有任何疑問,建議或您找到任何bug, 請通過　contact@ossec.net 或郵件列表 ossec-list@ossec.net 聯系我們.
 ( http://www.ossec.net/en/mailing_lists.html ).

您可以在　http://www.ossec.net 獲得更多信息

--- 請按　ENTER 結束安裝 (下面可能有更多信息). ---
•您必須首先將該代理添加到服務器端以使他們能夠相互通信. 這樣做了以后,您可以運行'manage_agents'工具導入 服務器端產生的認證密匙. /opt/ossec/bin/manage_agents

詳細信息請參考: http://www.ossec.net/en/manual.html#ma

(3) 配置OSSEC客戶端

---

其實配置ossec客戶端就是把剛才由服務端生成的key，在客戶端中導入，執行如下命令 [root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/manage_agents

****************************************

* OSSEC HIDS v2.7 Agent manager.     *

* The following options are available: *

****************************************

   (I)mport key from the server (I).

   (Q)uit.

Choose your action: I or Q: I
•Provide the Key generated by the server.
•The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz

Agent information: ID:001 Name:ossec-agent IP Address:192.168.100.104

Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu.

最后啟動客戶端

[root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/ossec-control start

或者執行

[root@ossec-agent ossec-hids-2.7]# /etc/init.d/ossec start

 

ps:兩點注意事項

1. 目前客戶端的最新版本是ossec-hids-2.8.3.tar.gz，如果你的某台客戶端以前裝過老版本的話

可以直接安裝2.8.3的安裝包的，程序會提示你 要不要升級，選擇升級后按着向導一步一步點下去就即可。

2. 如果要監控的客戶端環境是64位的windows，但是官網上給出的貌似只有32位的安裝包，可以直接安裝，不影響使用。