Serveur Ossec : "remoted not running"

Si remoted n’est pas démarré

Voir : https://ossec.github.io/docs/programs/ossec-remoted.html

Passer remoted en mode DEBUG
Dans le fichier : .../ossec/etc/internal_options.conf :

# Debug options.
# Debug 0 -> no debug
# Debug 1 -> first level of debug
# Debug 2 -> full debugging

...

# Remoted (server debug)
remoted.debug=2

Redémarrer ossec et examiner ossec.log :

Le mode DEBUG n’apporte rien ?

Exécuter remoted en avant-plan

# /home/ossecdnc/public_html/ossec/bi
n/ossec-remoted -f -d -d

Permissions de /queue/rids/

# /home/ossecdnc/public_html/ossec/bi
n/ossec-remoted -f -d -d
2017/12/04 14:24:22 ossec-remoted: DEBUG: Starting ...
2017/12/04 14:24:22 ossec-remoted: INFO: Started (pid: 30419).
2017/12/04 14:24:22 ossec-remoted: DEBUG: Forking remoted: '0'.
2017/12/04 14:24:22 ossec-remoted(1212): ERROR: Unable to create PID file.

ossecd tourne sous ossecm et ne peut écrire les compteurs dans queue/rids.
Il faut que le groupe ossec soit autorisé.
Il faut également que les permissions des fichiers de /queue/rids soient 660 ?

Permissions de /queue/alerts/ar/

root@vps223233 [~]# /home/ossecdnc/public_html/ossec/bin/ossec-remoted -f -d -d
2017/12/09 09:18:30 ossec-remoted: DEBUG: Starting ...
2017/12/09 09:18:30 ossec-remoted: INFO: Started (pid: 25345).
2017/12/09 09:18:30 ossec-remoted: DEBUG: Forking remoted: '0'.
root@vps223233 [~]# 2017/12/09 09:18:30 ossec-remoted: INFO: Started (pid: 25346
).
2017/12/09 09:18:30 ossec-remoted: DEBUG: Running manager_init
2017/12/09 09:18:30 ossec-remoted(1210): ERROR: Queue '/queue/alerts/ar' not acc
essible: 'Permission denied'.

Les permissions de ar doivent être srw-rw---- root ossec ???

Port UDP 1514 : problème avec IPV6, Ossec en version 2.9.2

root@vps223233 [/home/ossecdnc/public_html/ossec]# /home/ossecdnc/public_html/os
sec/bin/ossec-remoted -f -d -d
2017/12/09 09:48:04 ossec-remoted: DEBUG: Starting ...
2017/12/09 09:48:04 ossec-remoted: INFO: Started (pid: 996).
2017/12/09 09:48:04 ossec-remoted: DEBUG: Forking remoted: '0'.
root@vps223233 [/home/ossecdnc/public_html/ossec]# 2017/12/09 09:48:04 ossec-rem
oted(1206): ERROR: Unable to Bind port '1514'

voir : https://github.com/ossec/ossec-hids/issues/1061

Solutions :
- redémarrer le serveur.
- vérifier que IPV6 est bien configuré
-  ??? Appliquer : https://github.com/ossec/ossec-hids/pull/1259

Dans ossec.log : ERROR : No IP or network allowed in the access list for syslog. No reason for running it. Exiting.

Le mode syslog est activé, mais aucun agent n’est autorisé.
Il faut autoriser les agents dans la configuration :

<remote>
<connection>syslog</connection>
<allowed-ips>your-device-ip-1</allowed-ips>
<allowed-ips>your-device-ip-2</allowed-ips>
<allowed-ips>your-device-ip-3</allowed-ips>
</remote>