LINUX:Wazuh-SYSCOLLECTOR

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche

retour au menu pour les actions préventives

But

Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR.


Configuration

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".

Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".


La configuration est comprise entre les balises <wodle name="syscollector"> et </wodle>.

Voici une configuration de base: 

 <wodle name="syscollector">
   <disabled>no</disabled>
   <interval>12h</interval>
   <scan_on_start>no</scan_on_start>
   <hardware>yes</hardware>
   <os>yes</os>
   <network>yes</network>
   <packages>yes</packages>
   <ports all="no">yes</ports>
   <processes>yes</processes>
   <synchronization>
     <max_eps>10</max_eps>
   </synchronization>
 </wodle>

Explication des options:

  • disabled: désactive le module
  • scan_on_start: lance le traitement dès le lancement du service
  • interval: définit l'intervalle entre le lancement de deux traitements; ici 12h

Les noms des options sont assez explicites.


Vérification

Pour une exécution rapide pour test, modifiez dans le fichier de configuration la ligne "<scan_on_start>yes</scan_on_start>" et redémarrons le service.

Suivez l'exécution du module "SYSCOLLECTOR" dans le fichier journal "/var/ossec/logs/ossec.log" (machine manager et machines des agents distants). Repérez toute erreur et y remédier.

En filtrant ce journal: 

grep syscollector: /var/ossec/logs/ossec.log

on devrait obtenir ce type de messages. 

2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Module started.
2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Starting evaluation.
2022/11/24 11:48:51 wazuh-modulesd:syscollector: INFO: Evaluation finished.

La première ligne apparaît lors du démarrage du service. Les suivantes correspondent au traitement régulier.



retour au menu pour les actions préventives

Récupérée de « https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-SYSCOLLECTOR&oldid=2874 »