.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
エージェントライフサイクル
エージェントを登録
監視するエージェントがコンピューターにインストールされたら、コミュニケーションを確立するにはWazuhマネージャーに登録する必要があります。これは、コマンドライン、AUTHD、またはRESTFUL APIを介して実行できます。
登録エージェントは、ユーザーが削除するまでマネージャーに残ります。次の図に示すように、プロキシにはいつでも4つの異なる状態があります。
プロキシステータス
接続なし:プロキシは登録されていますが、マネージャーに接続されていません。
保留中の認証プロセスが待機しています。管理サーバーはプロキシから接続要求を受信しましたが、他には何も受信していません。これは、ファイアウォールの問題を示している可能性があります。プロキシは、接続ライフサイクル中にこの状態に1回行われます。
アクティビティ:エージェントは正常に接続されており、マネージャーと通信できるようになりました。
切断:30分以内にエージェントがエージェントからメッセージを受け取らない場合、管理者はエージェントが切断されると見なします。
プロキシ
を削除しますエージェントホストのマネージャーからエージェントを削除した後、接続ライフサイクルは終了しようとしています。これは、RESTFUL API、コマンドライン、またはAUTHDを介して実行できます(フォースオプションが有効になっている場合)。
強制挿入
別のプロキシに登録されたIPアドレスを使用してプロキシを追加しようとすると、manage_agentsコマンドはエラーを返します。まだ-fオプションで追加を強制することができます。
リスト:
IP 10.0.0.10という名前のServer1という名前のプロキシがインストールされ、IDは005です。サーバーを再インストールする必要があると仮定すると、新しいプロキシを再インストールしてマネージャーに接続する必要があります。この場合、パラメーター-F 0を使用できます。つまり、以前のプロキシ(005)が削除され(バックアップを使用)、新しいプロキシがIPを使用して再作成されます。新しいエージェントには新しいIDがあります。
/var/ossec/bin/manage_agents -n server1 -a 10.10.10.10 -f 0
プロキシ
をリストしますrun/var/ossec/bin/agent_controlエージェントの接続ステータスをリストする:
[root@wazhu -manage〜]#/var/ossec/bin/agent_control -l
wazuh agent_control。利用可能なエージェントのリスト:
ID: 000、name3: wazhu-manage(サーバー)、IP: 127.0.0.1、アクティブ/ローカル
ID: 001、name: agent01、IP: 45.77.105.194、Active
ID: 002、name: agent02、IP: 155.138.165.154、Active
ID: 003、name: agent03、IP: 45.77.93.54、Active
ID: 004、name: agent04、IP: 45.77.4.139、Active
エージェントレスデバイスのリスト:
プロキシ
を削除しますrun/var/ossec/bin/manage_agentsエージェントを削除します
プロキシを削除する前に確認する場合は、次のコマンドを使用します。
[root@wazhu-manage〜]#/var/ossec/bin/manage_agents
*****************************************
* Wazuh v3.8.0エージェントマネージャー。 *
*次のオプションが利用可能です: *
*****************************************
(a)ddエージェント(a)。
(e)エージェントのXtractキー(e)。
(l)すでに追加されたエージェント(L)。
(r)エージェント(R)をemoveします。
(やめる。
Action: a、e、l、r、q: rを選択します
利用可能なエージェント:
ID: 001、name: agent01、IP: 45.77.105.194
ID: 002、name: agent02、IP: 155.138.165.154
ID: 003、name: agent03、IP: 45.77.93.54
ID: 004、name: agent04、IP: 45.77.4.139
削除するエージェントのIDを提供する(または終了するために「\ q」): 004
削除を確認しますか?(y/n): y
エージェント '004'削除。
*****************************************
* Wazuh v3.8.0エージェントマネージャー。 *
*次のオプションが利用可能です: *
*****************************************
(a)ddエージェント(a)。
(e)エージェントのXtractキー(e)。
(l)すでに追加されたエージェント(L)。
(r)エージェント(R)をemoveします。
(やめる。
Action: A、E、L、R、またはQ: Qを選択します
確認なしにプロキシを削除する場合は、次のオプションを使用してください。
#/var/ossec/bin/manage_agents -r 001
*****************************************
* Wazuh v3.8.0エージェントマネージャー。 *
*次のオプションが利用可能です: *
*****************************************
(a)ddエージェント(a)。
(e)エージェントのXtractキー(e)。
(l)すでに追加されたエージェント(L)。
(r)エージェント(R)をemoveします。
(やめる。
Action: A、E、L、R、またはQ:を選択してください
利用可能なエージェント:
id: 001、name: new、ip: any
削除されるエージェントのIDを提供する(または終了するために「\ q」): 001
削除を確認しますか?(y/n): y
エージェント '001'削除。
**変更が有効になるには、OSSECを再起動する必要があります。
manage_agent:終了。
プロキシ接続ステータス
をリストします利用可能なエージェントのリストを返すようにget /agentsをリクエストします。
注:GETはCurlのデフォルト操作であり、特別な参照は必要ありません。
[root@wazhu-manage〜]
{
'error ': 0、
'data ': {
'TotherItems': 5、
'アイテム': [
{
'status ':' Active '、
'name':' wazhu-manage '、
'ip':' 127.0.0.1 '、
'Manager':' Wazhu-manage '、
'node_name':' node01 '、
'DateAdd':' 2019-01-21 09:58336043 '、
'version ':' wazuh v3.8.0 '、
'LastKeepalive':' 9999-12-31 23:59:59 '、
'OS': {
'Major':' 7 '、
'name ':' centos linux '、
'uname':' linux | wazhu-manage | 3.10.0-957.1.3.el7.x86_64 |#1 smp thu thu nov 29 14:49:43 UTC 2018 | x86_64 '、
'Platform ':' Centos '、
'バージョン':' 7 '、
'codename ':' core '、
'Arch':' x86_64 '
}、
'id':' 000 '
}、
{
'status ':' Active '、
'ConfigSum':' AB73AF41699F13FDD81903B5F23D8D00 '、
'グループ': [
'デフォルト'
]、
'name ':' agent01 '、
'mergedSum':' f8d49771911ed9d5c45b03a40babd065 '、
'ip': '45 .77.105.194'、
'Manager':' Wazhu-manage '、
'node_name':' node01 '、
'Dateadd':' 2019-01-22 07:14336026 '、
'version ':' wazuh v3.8.0 '、
'LastKeepalive':' 2019-01-22 18:11336046 '、
'OS': {
'Major':' 16 '、
'name ':' ubuntu '、
'uname ':' linux | Agent01 | 4.4.0-137-Generic |#163-Uubuntu SMP Mon Sep 24 13:14336043 UTC 2018 | X86_64 '、
'Platform ':' ubuntu '、
'バージョン': '16 .04.5 LTS'、
'Codename ':' Xenial Xerus '、
'Arch':' x86_64 '、
'minor':' 04 '
}、
'id':' 001 '
}、
{
'status ':' Active '、
'ConfigSum':' AB73AF41699F13FDD81903B5F23D8D00 '、
'グループ': [
'デフォルト'
]、
'name ':' agent02 '、
'mergedSum':' f8d49771911ed9d5c45b03a40babd065 '、
'ip':' 155.138.165.154 '、
'Manager':' Wazhu-manage '、
'node_name':' node01 '、
'DateAdd':' 2019-01-22 09:29336021 '、
'version ':' wazuh v3.8.0 '、
'LastKeepalive':' 2019-01-22 18:11336039 '、
'OS': {
'Major':' 16 '、
'name ':' ubuntu '、
'uname ':' linux | Agent02 | 4.4.0-137-Generic |#163-Uubuntu SMP Mon Sep 24 13:14336043 UTC 2018 | X86_64 '、
'Platform ':' ubuntu '、
'バージョン': '16 .04.5 LTS'、
'Codename ':' Xenial Xerus '、
'Arch':' x86_64 '、
'minor':' 04 '
}、
'id':' 002 '
}、
{
'status ':' Active '、
'ConfigSum':' AB73AF41699F13FDD81903B5F23D8D00 '、
'グループ': [
'デフォルト'
]、
'name ':' agent03 '、
'mergedSum':' f8d49771911ed9d5c45b03a40babd065 '、
'ip': '45 .77.93.54'、
'Manager':' Wazhu-manage '、
'node_name':' node01 '、
'DateAdd':' 2019-01-22 10:15336026 '、
'version ':' wazuh v3.8.0 '、
'LastKeepalive':' 2019-01-22 18:11336042 '、
'OS': {
'Major':' 16 '、
'name ':' ubuntu '、
'uname ':' linux | Agent03 | 4.4.0-137-Generic |#163-Uubuntu SMP Mon Sep 24 13:14336043 UTC 2018 | X86_64 '、
'Platform ':' ubuntu '、
'バージョン': '16 .04.5 LTS'、
'Codename ':' Xenial Xerus '、
'Arch':' x86_64 '、
'minor':' 04 '
}、
'id':' 003 '
}、
{
'status ':' Active '、
'ConfigSum':' AB73AF41699F13FDD81903B5F23D8D00 '、
'グループ': [
'デフォルト'
]、
'name ':' agent04 '、
'mergedSum':' f8d49771911ed9d5c45b03a40babd065 '、
'ip': '45 .77.4.139'、
'Manager':' Wazhu-manage '、
'node_name':' node01 '、
'DateAdd':' 2019-01-22 10:34336001 '、
'version ':' wazuh v3.8.0 '、
'LastKeepalive':' 2019-01-22 18:11336043 '、
'OS': {
'Major':' 16 '、
'name ':' ubuntu '、
'uname ':' linux | Agent04 | 4.4.0-137-Generic |#163-Uubuntu SMP Mon Sep 24 13:14336043 UTC 2018 | X86_64 '、
'Platform ':' ubuntu '、
'バージョン': '16 .04.5 LTS'、
'Codename ':' Xenial Xerus '、
'Arch':' x86_64 '、
'minor':' 04 '
}、
'id':' 004 '
}
]
}
}
プロキシ
を削除します指定されたエージェントを削除するには、delete /agents /:agent_idを要求します。
[root@wazhu -manage〜]
{'error':0、' data ': {'msg':'すべての選択されたエージェントは削除されました '、' fitrected_agents': ['003']}}}
wazuhアプリケーションを使用して
リストエージェント:
Wazuhアプリケーションの[エージェント]タブに移動することにより、登録されたすべてのエージェントに関する基本情報をリストおよび表示できます。
ディスプレイエージェント
プロキシをクリックすると、プロキシに関する詳細情報が表示されます。
マネージャーへの接続を確認してください
プロキシとマネージャーの間の接続を確認する前に、最初にプロキシがマネージャーのIPアドレスを指していることを確認します。これは、clientxmlタグを使用してossec.confによって設定されます。詳細については、クライアントリファレンスを参照してください。
ossec_configclienterveraddress149.248.9.0/addressprotocoludp/protocol/server/client/ossec_config
これにより、Wazuh Manager Serverとして149.248.9.9が設定されます。これを行った後、プロキシを再起動する必要があります。
A.SystemD:
#systemctlはwazuh-agentを再起動します
B. sysv init:用
#サービスwazuh-agent Restart
プロキシを登録して接続に正常に接続したら、マネージャーへのプロキシ接続のリストを表示できます。
[root@wazhu -manage〜]#/var/ossec/bin/agent_control -lc #agent Manager
wazuh agent_control。利用可能なエージェントのリスト:
ID: 000、name3: wazhu-manage(サーバー)、IP: 127.0.0.1、アクティブ/ローカル
ID: 001、name: agent01、IP: 45.77.105.194、Active
ID: 002、name: agent02、IP: 155.138.165.154、Active
また、マネージャーへのUDP接続が確立されていることを確認することにより、プロキシが正しく接続されているかどうかを確認することもできます。
root@agent02:〜#netstat -vatunp | grep ossec -agentd #agentカスタマーサービス
UDP 0 0 155.138.165.154:58599 149.248.9.033601514確立5088/OSSEC-Agentd
結果は、プロキシおよびマネージャーのIPアドレスと一致する必要があります。
Agent_Controlセクションでは、マネージャーに登録されたエージェントのステータスに関する情報を見つけることができます。
グループエージェント
バージョン3.0.0の新機能。
登録プロキシを構成するには、2つの方法があります。 ossec.confファイルを使用してローカルで構成することも、集中構成を使用してリモートで構成することもできます。集中構成を使用する場合、それぞれが一意の構成を持つグループにプロキシを割り当てることができます。これにより、構成プロセス全体が大幅に簡素化されます。
特に指定されていない限り、すべての新しいエージェントは「デフォルト」グループに自動的に属します。インストール中にこのグループを作成し、構成ファイルを/var/ossec/etc/shared/default/folderに配置します。これらのファイルは、マネージャーからグループに属するすべてのエージェントにプッシュされます。
1.特定の構成を持つグループにプロキシを割り当てる手順を次に示します。
エージェントがマネージャーに追加されたら、Agent_GroupsツールまたはAPIを使用してグループに割り当てます。次の方法は、グループ「test01」列にID 002を含むプロキシを割り当てることです。
agent_groupsを使用してください:
[root@wazhu-manage default]#cd/var/ossec/etc/shared
[root@wazhu-manage共有]#mkdir test01
[root@wazhu-manage共有]#/var/ossec/bin/agen