OSSEC文档——Agent管理

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-management.html

Agent管理

要将代理添加到带有manage_agents的OSSEC管理器中，您需要遵循下面的步骤。

在OSSEC服务器上运行manageagents。

添加一个代理。

提取代理的密钥。

将该密钥复制到代理。

在代理上运行管理代理。

导入从管理器复制的密钥。

重新启动管理器的OSSEC进程。

启动代理。

OSSEC服务器上的manage_agents

manage_agents的服务版本提供了一个接口:

向OSSEC服务器添加OSSEC代理

提取已添加到OSSEC服务器的代理的密钥

从OSSEC服务器中删除一个代理

列出已经添加到OSSEC服务器的所有代理。

运行manage_agents并启动屏幕

manage_agents应该作为具有适当权限的用户运行(如root)。

运行manage_agents

manage_agents菜单:

输入适当的字母并按回车键就会启动这个函数。

添加一个代理

要在开始屏幕中添加代理类型a:

然后提示您为新代理提供一个名称。这可以是标识系统的主机名或另一个字符串。在本例中，代理名称将是agent1。

在此之后，您必须为代理指定IP地址。这可以是单个IP地址(例如192.168.1.25)，IP地址范围(如192.168.2.0/24)，或任何其他IP地址。当代理的IP可能频繁地更改（DHCP）时，使用网络范围或任何一个网络范围更可取，或者多个系统将出现来自同一个IP地址（NAT）。

如果您使用一个特定的IP地址，它必须是唯一的。重复的IP地址会引起问题。多个系统可以使用相同的IP范围或任何一个。

最后要询问的信息是您想要分配给代理的ID。 manage_agents将为ID提供一个值。这个值应该是没有被分配给另一个代理的最低的正数。这个ID被分配给OSSEC服务器。要接受这个建议，只需按下ENTER键。要选择另一个值，输入它并按ENTER键。

作为创建代理的最后一步，您必须确认添加代理:

在此之后，manage_agents将代理信息附加到/var/ossec/etc/client。键，返回到开始屏幕。

如果这是添加到该服务器的第一个代理，那么服务器的OSSEC进程应该使用/var/ossec/bin/ossec-control restart。

为代理提取密钥

添加代理之后，将创建一个密钥。这个密钥必须复制到代理中。要提取密钥，请在manageagents启动屏幕中使用e选项。您将得到服务器上所有代理的列表。要提取代理的键，只需输入代理ID。重要的是必须输入ID的所有数字。

通过代理代理的代理版本，可以将该字符串添加到代理中。

删除一个代理

如果您想从服务器中删除一个OSSEC代理，请在manage_agents开始屏幕中使用r选项。您将得到一个已添加到服务器的所有代理的列表。为了删除一个代理，只需输入代理的ID，按enter，最后确认删除。注意必须输入ID的所有数字，这一点很重要。

在/var/ossec/etc/client.keys中manage_agents然后无效代理信息。只有在添加代理时，才会保留ID和密钥的值以避免冲突。已删除的代理不能再与OSSEC服务器通信。

在OSSEC agents上manage_agents操作

代理版本提供了导入身份验证密钥的接口。

为了使更改生效，您必须重新启动服务器并启动代理。