Ossec添加Agent端流程总结

(1) 服务器上添加客户端

在服务器上添加客户端，执行如下命令，按照提示进行输入，红色部分是我们输入的：

[root@ossec-server logs]# /var/ossec/bin/manage_agents

   ****************************************

   * OSSEC HIDS v2. Agent manager.     *

   * The following options are available: *

   ****************************************

      (A)dd an agent (A).

      (E)xtract key for an agent (E).

      (L)ist already added agents (L).

      (R)emove an agent (R).

      (Q)uit.

Choose your action: A,E,L,R or Q: A
•Adding a new agent (use '\q' to return to the main menu). Please provide the following:
◦A name for the new agent: ossec-agent
◦The IP Address of the new agent: 192.168.100.104
◦An ID for the new agent[]: Agent information: ID: Name:ossec-agent IP Address:192.168.100.104

Confirm adding it?(y/n): y Agent added.

然后程序会重新进入到第一次的界面，如下，我们导出刚才添加的那个agent的key，用于后面的客户端连接到服务端：

   ****************************************

   * OSSEC HIDS v2. Agent manager.     *

   * The following options are available: *

   ****************************************

      (A)dd an agent (A).

      (E)xtract key for an agent (E).

      (L)ist already added agents (L).

      (R)emove an agent (R).

      (Q)uit.

Choose your action: A,E,L,R or Q: E

Available agents: ID: , Name: ossec-agent, IP: 192.168.100.104 Provide the ID of the agent to extract the key (or '\q' to quit): 

Agent key information for '' is: MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz

** Press ENTER to return to the main menu.

(2) 安装OSSEC客户端

由于我们本身客户端也是Linux服务器，而ossec的服务端和客户端是同一个安装包，所以在客户端上下载安装包，并且解压安装，如下。

 [root@ossec-server ~]# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz

[root@ossec-server ~]# tar zxf ossec-hids-2.7.tar.gz

[root@ossec-server ~]# cd ossec-hids-2.7

[root@ossec-server ~]# ./install.sh

** Para instalação em português, escolha [br]. ** 要使用中文进行安装, 请选择 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** A Magyar nyelvű telepítéshez válassza [hu]. ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします．選択して下さい．[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalować w języku Polskim, wybierz [pl][/pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: cn OSSEC HIDS v2.7 安装脚本 - http://www.ossec.net

您将开始 OSSEC HIDS 的安装. 请确认在您的机器上已经正确安装了 C 编译器. 如果您有任何疑问或建议,请给 dcid@ossec.net (或 daniel.cid@gmail.com) 发邮件.
•系统类型: Linux ossec-agent 2.6.-.el5
•用户: root
•主机: ossec-agent

-- 按 ENTER 继续或 Ctrl-C 退出. --

- 您希望哪一种安装 (server, agent, local or help)? agent
•选择了 Agent(client) 类型的安装.

- 正在初始化安装环境.
•请选择 OSSEC HIDS 的安装路径 [/var/ossec]: /opt/ossec
◦OSSEC HIDS 将安装在 /opt/ossec .

- 正在配置 OSSEC HIDS.

3.1- 请输入 OSSEC HIDS 服务器的IP地址或主机名: 192.168.***.***
•添加服务器IP 192.168.***.***

3.2- 您希望运行系统完整性检测模块吗? (y/n) [y]:
•系统完整性检测模块将被部署.

3.3- 您希望运行 rootkit检测吗? (y/n) [y]:
•rootkit检测将被部署.

3.4 - 您希望开启联动(active response)功能吗? (y/n) [y]:

3.5- 设置配置文件以分析一下日志: -- /var/log/messages -- /var/log/secure -- /var/log/xferlog -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log)

-如果你希望监控其他文件, 只需要在配置文件ossec.conf中 添加新的一项. 任何关于配置的疑问您都可以在 http://www.ossec.net 找到答案.

--- 按 ENTER 以继续 ---

- 正在安装系统 - 正在运行Makefile INFO: Little endian set.

…………省略编译输出…………
•系统类型是 Redhat Linux.
•修改启动脚本使 OSSEC HIDS 在系统启动时自动运行
•已正确完成系统配置.
•要启动 OSSEC HIDS: /opt/ossec/bin/ossec-control start
•要停止 OSSEC HIDS: /opt/ossec/bin/ossec-control stop
•要查看或修改系统配置,请编辑 /opt/ossec/etc/ossec.conf

感谢使用 OSSEC HIDS. 如果您有任何疑问,建议或您找到任何bug, 请通过　contact@ossec.net 或邮件列表 ossec-list@ossec.net 联系我们.
 ( http://www.ossec.net/en/mailing_lists.html ).

您可以在　http://www.ossec.net 获得更多信息

--- 请按　ENTER 结束安装 (下面可能有更多信息). ---
•您必须首先将该代理添加到服务器端以使他们能够相互通信. 这样做了以后,您可以运行'manage_agents'工具导入 服务器端产生的认证密匙. /opt/ossec/bin/manage_agents

详细信息请参考: http://www.ossec.net/en/manual.html#ma

(3) 配置OSSEC客户端

---

其实配置ossec客户端就是把刚才由服务端生成的key，在客户端中导入，执行如下命令 [root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/manage_agents

****************************************

* OSSEC HIDS v2. Agent manager.     *

* The following options are available: *

****************************************

   (I)mport key from the server (I).

   (Q)uit.

Choose your action: I or Q: I
•Provide the Key generated by the server.
•The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIG9zc2VjLWFnZW50IDE5Mi4xNjguMTAwLjEwNCAzZWJmZWMzZmRlYzE2ODgzZmEyMzc0NWI5MWMyZDlmNmIyNDViZDMxNjBkZGRiM2FlMTk4NDA3ODNiNDFhYzYz

Agent information: ID: Name:ossec-agent IP Address:192.168.100.104

Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu.

最后启动客户端

[root@ossec-agent ossec-hids-2.7]# /opt/ossec/bin/ossec-control start

或者执行

[root@ossec-agent ossec-hids-2.7]# /etc/init.d/ossec start

ps:两点注意事项

1. 目前客户端的最新版本是ossec-hids-2.8.3.tar.gz，如果你的某台客户端以前装过老版本的话

可以直接安装2.8.3的安装包的，程序会提示你 要不要升级，选择升级后按着向导一步一步点下去就即可。

2. 如果要监控的客户端环境是64位的windows，但是官网上给出的貌似只有32位的安装包，可以直接安装，不影响使用。