« LINUX:Wazuh-SYSCOLLECTOR » : différence entre les versions
(Page créée avec « ---- ''→ retour au menu pour les actions préventives'' ---- =But= Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module LINUX:Wazuh-VULNERABILITY-DETECTOR|VULNERABI... ») |
Aucun résumé des modifications |
||
| Ligne 3 : | Ligne 3 : | ||
---- | ---- | ||
=But= | =But= | ||
Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module [[LINUX:Wazuh-VULNERABILITY-DETECTOR|VULNERABILITY-DETECTOR]]. | Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module [[LINUX:Wazuh-VULNERABILITY-DETECTOR|VULNERABILITY-DETECTOR]]. | ||
=Configuration= | |||
Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf". | |||
Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme '''"/var/ossec/etc/shared/default/agent.conf"''' et sur l'agent distant, il se trouve sous le nom '''"/var/ossec/etc/default/agent.conf"'''. | |||
La configuration est comprise entre les balises '''<wodle name="syscollector">''' et '''</wodle>'''. | |||
Voici une configuration de base: | |||
---- | |||
<wodle name="syscollector"> | |||
<disabled>no</disabled> | |||
<interval>12h</interval> | |||
<scan_on_start>no</scan_on_start> | |||
<hardware>yes</hardware> | |||
<os>yes</os> | |||
<network>yes</network> | |||
<packages>yes</packages> | |||
<ports all="no">yes</ports> | |||
<processes>yes</processes> | |||
<synchronization> | |||
<max_eps>10</max_eps> | |||
</synchronization> | |||
</wodle> | |||
---- | |||
Explication des options: | |||
* disabled: désactive le module | |||
* scan_on_start: lance le traitement dès le lancement du service | |||
* interval: définit l'intervalle entre le lancement de deux traitements; ici 12h | |||
Les noms des options sont assez explicites. | |||
=Vérification= | |||
Pour une exécution rapide pour test, modifiez dans le fichier de configuration la ligne "<scan_on_start>yes</scan_on_start>" et redémarrons le service. | |||
En premier lieu, suivez l'exécution du module "SYSCOLLECTOR" dans le fichier journal "/var/ossec/logs/ossec.log". Repérez toute erreur et y remédier. Voici un extrait du journal. | |||
---- | |||
2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Module started. | |||
2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Starting evaluation. | |||
2022/11/24 11:48:51 wazuh-modulesd:syscollector: INFO: Evaluation finished. | |||
---- | |||
La première ligne apparaît lors du démarrage du service. Les suivantes correspondent au traitement régulier. | |||
Version du 24 novembre 2022 à 12:56
→ retour au menu pour les actions préventives
But
Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR.
Configuration
Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".
Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".
La configuration est comprise entre les balises <wodle name="syscollector"> et </wodle>.
Voici une configuration de base:
<wodle name="syscollector">
<disabled>no</disabled>
<interval>12h</interval>
<scan_on_start>no</scan_on_start>
<hardware>yes</hardware>
<os>yes</os>
<network>yes</network>
<packages>yes</packages>
<ports all="no">yes</ports>
<processes>yes</processes>
<synchronization>
<max_eps>10</max_eps>
</synchronization>
</wodle>
Explication des options:
- disabled: désactive le module
- scan_on_start: lance le traitement dès le lancement du service
- interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
Les noms des options sont assez explicites.
Vérification
Pour une exécution rapide pour test, modifiez dans le fichier de configuration la ligne "<scan_on_start>yes</scan_on_start>" et redémarrons le service.
En premier lieu, suivez l'exécution du module "SYSCOLLECTOR" dans le fichier journal "/var/ossec/logs/ossec.log". Repérez toute erreur et y remédier. Voici un extrait du journal.
2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Module started. 2022/11/24 11:48:49 wazuh-modulesd:syscollector: INFO: Starting evaluation. 2022/11/24 11:48:51 wazuh-modulesd:syscollector: INFO: Evaluation finished.
La première ligne apparaît lors du démarrage du service. Les suivantes correspondent au traitement régulier.
→ retour au menu pour les actions préventives