Es posible que alguna vez os encontreis con este problema en OSSEC, el agente no conecta con el servidor y únicamente tenemos este LOG:
2014/10/XX 12:20:10 ossec-agentd: INFO: Using IPv4 for: X.X.X.X .
2014/10/XX 12:20:31 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: ‘X.X.X.X’.
El problema puede venir del firewall que este bloqueando la conexión, si después de comprobar todo sigue fallando debeis continuar con estos pasos:
1.- Debemos saber cual es el ID del agente que nos esta fallando, para esto ejecutamos el comando:
# /var/ossec/bin/agent_control -l
Nos mostrará una lista y veremos cual esta desconectado:
ID: 010, Name: new_server1, IP: X.X.X.X, Disconnected
2.- Ahora que ya tenemos el ID (010), debemos para ossec en el servidor y en el agente:
# /etc/init.d/ossec stop
3.- Eliminamos la carpeta RIDS del ID del agente, en este caso 010
# rm -Rf /var/ossec/queue/rids/010
4.- Arrancamos OSSEC en el servidor
# /etc/init.d/ossec start
5.- Arrancamos OSSEC en el agente
# /etc/init.d/ossec start
Comentarios recientes