Ossec : Installation d’un agent sur un hôte Windows

Attention : votre installation concerne un hôte Windows, vous devez avoir ajouté au préalable l’agent sur le serveur avant de l’installer sur l’hôte, car il vous faudra disposer de la clé d’authentification au cours de cette installation. Suivez : Ossec : Management des agents.

Télécharger la source ici : https://ossec.github.io/downloads.html

Il n’y a qu’un choix pour Agent Windows : téléchargez l’installeur ossec-agent-win32-x.x.x.exe et lancez-le.

Répertoire d’installation

Par défaut, l’agent est installé dans C :\Program Files (x86)\ossec-agent\

Pour le relancer :

"C:\Program Files (x86)\ossec-agent\win32ui.exe"

Après l’installation...

Relancer dans l’ordre : le serveur, l’agent.

Constater la communication avec le serveur

En cas de succès de la communication avec le serveur, le log local de l’agent montre :

2017/11/08 08:54:09 ossec-agentd: INFO: Trying to connect to server x.x.x.x, port 1514.
2017/11/08 08:54:09 INFO: Connected to x.x.x.x at address x.x.x.x:1514, port 1514
2017/11/08 08:54:09 ossec-agent: Starting syscheckd thread.

Côté serveur, l’agent apparait dans Ossec-WUI :

Dans alerts.log, il apparaît le message suivant :

** Alert 1510127650.1261277: mail  - ossec,
2017 Nov 08 08:54:10 (vpsxxx) x.x.x.x->ossec
Rule: 501 (level 3) -> 'New ossec agent connected.'
ossec: Agent started: 'vpsxxx->x.x.x.x'.

Assurer le démarrage automatique de l’agent

Sur Windows, il suffit de lancer l’application Ossec, soit Ossec Agent Manager, et de démarrer le service (Manage/Start Ossec). Par défaut le service est en mode démarrage automatique (voir Services Windows).

Attention : lorsqu’un agent inscrit, est arrêté, il peut causer certains problèmes de communication avec le serveur lors d’un redémarrage.