Execute o manage_agents
/var/ossec/bin/manage_agents
**************************************** *
OSSEC HIDS v2.6 Agent manager.
* *The following options are available:
* ****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit. Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ] - Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ] Agent information: ID:001 Name:W2k3 IP Address:192.168.0.2
Confirm adding it?(y/n): y [ Digite 'y' ] Agent added.
**************************************** *
OSSEC HIDS v2.6 Agent manager.
* * The following options are available:
* ****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit. Choose your action: A,E,L,R or Q: E [ Digite 'E' para obter a chave do agente ]
Available agents: ID: 001, Name: teste, IP: 192.168.0.2
Provide the ID of the agent to extract the key (or '\q' to quit): 001 [ Informe o ID do agente ]
Agent key information for ’001′ is: [ Guarde esta chave para adicionar na configuração do agente ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
Reinicie o Ossec Server
/var/ossec/bin/ossec-control restart
Adicione no agente o ip do Ossec Server e a chave gerada anteriormente.
Por padrão o agente do Windows faz a leitura dos logs do 1o virtual host ( W3SVC1 até W3SVC254 para WEB, MSFTPSVC1 até MSFTPSVC254 para FTP e SMTPSVC1 até SMTPSVC254 para SMTP). Está configuração padrão não atente na maioria dos casos, por isso é necessário ajustar tanto o IIS quanto o Ossec. NO IIS Execute os seguintes passos em todos o VHOSTS existentes tanto para WEB quanto para FTP 1 - Marque as opções 1 e 2 como mostra a tela abaixo:
Guarde o caminho do arquivo de log ( LOG FILE NAME ) que na imagem acima é W3SVC767321757\exyymmdd.log. Iremos adicionar está informação no arquivo de configuração do agente. 2 - Clique na aba AVANÇADO marcando todas as opções existentes.
NO AGENTE DO OSSEC 1 - Inicie o Agent Manager e clique em VIEW -> VIEW CONFIG Adicione a seguinte XML TAG no final do arquivo informando os diretórios apresentados anteriormente pelo IIS. Repita toda a TAG para cada diretório.
<!-- IIS log file -->
<ossec_config>
<localfile>
<location>C:\WINDOWS\System32\LogFiles\W3SVC767321757\ex%y%m%d.log</location>
<log_format>iis</log_format>
</localfile>
</ossec_config>
|
-- Alexandro Silva (Alexos)