Es posible que alguna vez os encontreis con este problema en OSSEC, el agente no conecta con el servidor y únicamente tenemos este LOG:

2014/10/XX 12:20:10 ossec-agentd: INFO: Using IPv4 for: X.X.X.X .
2014/10/XX 12:20:31 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: ‘X.X.X.X’.

El problema puede venir del firewall que este bloqueando la conexión, si después de comprobar todo sigue fallando debeis continuar con estos pasos:

1.- Debemos saber cual es el ID del agente que nos esta fallando, para esto ejecutamos el comando:

# /var/ossec/bin/agent_control  -l

Nos mostrará una lista y veremos cual esta desconectado:

ID: 010, Name: new_server1, IP: X.X.X.X, Disconnected

2.- Ahora que ya tenemos el ID (010), debemos para ossec en el servidor y en el agente:

# /etc/init.d/ossec stop

3.- Eliminamos la carpeta RIDS del ID del agente, en este caso 010

# rm -Rf /var/ossec/queue/rids/010

4.- Arrancamos OSSEC en el servidor

# /etc/init.d/ossec start

5.- Arrancamos OSSEC en el agente

# /etc/init.d/ossec start

Si te interesa, Comparte!!