wazuh-monitord agent连接监控

原创 已于 2022-10-28 09:31:33 修改 · 676 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#哈希算法 #算法

于 2022-10-27 19:00:27 首次发布
博客介绍了ossecc -monitord程序对agent连接的监视,包括agent掉线时间间隔和告警时间间隔的配置,监控agent连接时如何连接消息队列、判断掉线超时及发送掉线消息,还提及ossec - analysisd进程接收消息队列消息的相关设置和处理。

ossecc -monitord程序监视agent的连接。此外,它每天或当内部日志达到一定的可配置大小时对其进行旋转和压缩。

1.掉线时间间隔配置

agent掉线时间间隔

        <agents_disconnection_time>1m</agents_disconnection_time>       
agent掉线告警时间间隔

        <agents_disconnection_alert_time>1h</agents_disconnection_alert_time>

2.监控agent连接

连接到消息队列

    /* Connect to the message queue
     * Exit if it fails.
     */
    if ((logr.m_queue = StartMQ(DEFAULTQUEUE, WRITE, INFINITE_OPENQ_ATTEMPTS)) < 0) {
        merror_exit(QUEUE_FATAL, DEFAULTQUEUE);
    }

这个是通用消息队列,一般消息都走这个消息队列 

/* Default queue */
#define DEFAULTQUEUE    "queue/sockets/queue"

 监控连接状态函数

void monitor_agents_alert(){
    unsigned int inode_it = 0;
    OSHashNode *agent_hash_node = NULL;
    OSHashNode *agent_hash_next_node = NULL;

    cJSON *j_agent_info = NULL;
    cJSON *j_agent_status = NULL;
    cJSON *j_agent_lastkeepalive = NULL;
    cJSON *j_agent_name = NULL;
    cJSON *j_agent_ip = NULL;

    agent_hash_node = OSHash_Begin(agents_to_alert_hash, &inode_it);
    while (agent_hash_node) {
        agent_hash_next_node = OSHash_Next(agents_to_alert_hash, &inode_it, agent_hash_node);

        j_agent_info = wdb_get_agent_info(atoi(agent_hash_node->key), &sock);
        if (j_agent_info) {
            j_agent_status = cJSON_GetObjectItem(j_agent_info->child, "connection_status");
            j_agent_lastkeepalive = cJSON_GetObjectItem(j_agent_info->child, "last_keepalive");
            j_agent_name = cJSON_GetObjectItem(j_agent_info->child, "name");
            j_agent_ip = cJSON_GetObjectItem(j_agent_info->child, "register_ip");

            if (cJSON_IsString(j_agent_status) && j_agent_status->valuestring != NULL &&
                cJSON_IsString(j_agent_name) && j_agent_name->valuestring != NULL &&
                cJSON_IsString(j_agent_ip) && j_agent_ip->valuestring != NULL &&
                cJSON_IsNumber(j_agent_lastkeepalive)) {

                    if (strcmp(j_agent_status->valuestring, "active") == 0) {
                        /* The agent is now connected, removing from table */
                        OSHash_Delete(agents_to_alert_hash, agent_hash_node->key);
                    }

                    else if (j_agent_lastkeepalive->valueint < (time(0) -
                            (mond.global.agents_disconnection_time + mond.global.agents_disconnection_alert_time))) {
                        /* Generating the disconnection alert */
                        char *agent_name_ip = NULL;
                        os_strdup(j_agent_name->valuestring, agent_name_ip);
                        wm_strcat(&agent_name_ip, j_agent_ip->valuestring, '-');
                        monitor_send_disconnection_msg(agent_name_ip);
                        OSHash_Delete(agents_to_alert_hash, agent_hash_node->key);
                        os_free(agent_name_ip);
                    }
                }
        } else {
            mdebug1("Unable to retrieve agent's '%s' data from Wazuh DB", agent_hash_node->key);
            OSHash_Delete(agents_to_alert_hash, agent_hash_node->key);
        }
        cJSON_Delete(j_agent_info);
        agent_hash_node = agent_hash_next_node;
    }
}

掉线超时判断else if ( j_agent_lastkeepalive->valueint < (time(0) - (mond.global.agents_disconnection_time + mond.global.agents_disconnection_alert_time)) )

                    if (strcmp(j_agent_status->valuestring, "active") == 0) {
                        /* The agent is now connected, removing from table */
                        OSHash_Delete(agents_to_alert_hash, agent_hash_node->key);
                    }

                    else if (j_agent_lastkeepalive->valueint < (time(0) -
                            (mond.global.agents_disconnection_time + mond.global.agents_disconnection_alert_time))) {
                        /* Generating the disconnection alert */
                        char *agent_name_ip = NULL;
                        os_strdup(j_agent_name->valuestring, agent_name_ip);
                        wm_strcat(&agent_name_ip, j_agent_ip->valuestring, '-');
                        monitor_send_disconnection_msg(agent_name_ip);
                        OSHash_Delete(agents_to_alert_hash, agent_hash_node->key);
                        os_free(agent_name_ip);
                    }

 发送掉线消息


void monitor_send_disconnection_msg(char *agent) {
    char str[OS_SIZE_1024];
    int error;

    memset(str, '\0', OS_SIZE_1024);
    /* Send disconnected message */
    snprintf(str, OS_SIZE_1024, AG_DISCON_MSG, agent);
    if (error = mon_send_agent_msg(agent, str), error) {
        if (error == 2) {
            // Agent is no longer in the database
            monitor_send_deletion_msg(agent);
        } else {
            mdebug1("Could not generate disconnected agent alert for '%s'", agent);
        }
    }
}

如果 mon_send_agent_msg函数返回2,说明Wazuh DB中没有找到agent_id(具体是通过agent_name找agent_id)

int mon_send_agent_msg(char *agent, char *msg) {
    char header[OS_SIZE_256];
    char ag_name[OS_SIZE_128];
    int ag_id;
    char *ag_ip = NULL;
    char *found = agent;
    size_t name_size;

    while (found = strchr(found, '-'), found) {
        ag_ip = ++found;
    }

    if (!ag_ip) {
        return 1;
    }

    if (name_size = strlen(agent) - strlen(ag_ip), name_size > OS_SIZE_128) {
        return 1;
    }

    snprintf(ag_name, name_size, "%s", agent);

    if (ag_id = wdb_find_agent(ag_name, ag_ip, NULL), ag_id > 0) {

        snprintf(header, OS_SIZE_256, "[%03d] (%s) %s", ag_id, ag_name, ag_ip);
        if (SendMSG(mond.a_queue, msg, header, SECURE_MQ) < 0) {
            mond.a_queue = -1;  // set an invalid fd so we can attempt to reconnect later on.
            merror(QUEUE_SEND);
            return 1;
        }
        return 0;
    } else if (ag_id == -2) {
        return 2;
    }

    return 1;
}

 将消息通过消息队列发出去

SendMSG(mond.a_queue, msg, header, SECURE_MQ)
/* Send a message to the queue */
int SendMSG(int queue, const char *message, const char *locmsg, char loc)
{
    int __mq_rcode;
    char tmpstr[OS_MAXSTR + 1];
    static int reported = 0;

    tmpstr[OS_MAXSTR] = '\0';

    /* Check for global locks */
    os_wait();

    if (loc == SECURE_MQ) {
        loc = message[0];
        message++;

        if (message[0] != ':') {
            merror(FORMAT_ERROR);
            return (0);
        }
        message++; /* Pointing now to the location */

        if (strncmp(message, "keepalive", 9) == 0) {
            return (0);
        }

        snprintf(tmpstr, OS_MAXSTR, "%c:%s->%s", loc, locmsg, message);
    } else {
        snprintf(tmpstr, OS_MAXSTR, "%c:%s:%s", loc, locmsg, message);
    }

    /* Queue not available */
    if (queue < 0) {
        return (-1);
    }

    if ((__mq_rcode = OS_SendUnix(queue, tmpstr, 0)) < 0) {
        /* Error on the socket */
        if (__mq_rcode == OS_SOCKTERR) {
            merror("socketerr (not available).");
            close(queue);
            return (-1);
        }

        /* Unable to send. Socket busy */
        mdebug2("Socket busy, discarding message.");

        if (!reported) {
            reported = 1;
            mwarn("Socket busy, discarding message.");
        }
    }

    return (0);
}
/* Send a message using a Unix socket
 * Returns the OS_SOCKETERR if it fails
 */
int OS_SendUnix(int socket, const char *msg, int size)
{
    if (size == 0) {
        size = strlen(msg) + 1;
    }

    if (send(socket, msg, size, 0) < size) {
        if (errno == ENOBUFS) {
            return (OS_SOCKBUSY);
        }

        return (OS_SOCKTERR);
    }

    return (OS_SUCCESS);
}

 mond.a_queue 是socket对应的fd

通过SendMSG函数可知:

  • 如果消息中包含"keepalive"字符串,那么消息不会发送。
  • 消息发出去的结构是 SECURE_MQ:header:msg这三部以冒号分隔,然后通过OS_SendUnix发送到消息队列
  • mond.a_queue 指向的DEFAULTQUEUE

3.ossec-analysisd 进程接收

设置消息队列

        /* Set the queue */
        if ((m_queue = StartMQ(DEFAULTQUEUE, READ, 0)) < 0) {
            merror_exit(QUEUE_ERROR, DEFAULTQUEUE, strerror(errno));
        }

 接收处理消息队列中的消息

    /* Create message handler thread */

    w_create_thread(ad_input_main, &m_queue);

 消息接收函数

/* Receive a message from a Unix socket */
int OS_RecvUnix(int socket, int sizet, char *ret)
{
    struct sockaddr_un n_us;
    socklen_t us_l = sizeof(n_us);
    ssize_t recvd;
    ret[sizet] = '\0';

    if ((recvd = recvfrom(socket, ret, sizet - 1, 0,
                          (struct sockaddr *)&n_us, &us_l)) < 0) {
        return (0);
    }

    ret[recvd] = '\0';
    return ((int)recvd);
}

参考

global - Local configuration (ossec.conf) · Wazuh documentation

ossec-monitord - Daemons · Wazuh documentation

java xml 中monitor_monitorAgent 简单一个监控程序小工具,主要监测jar 是否运行,定时上报数据。引用ClassPathXmlA Java Develop 256万源代码下...
weixin_35876299的博客
02-13 319
文件名称: monitorAgent下载 收藏√ [5 4 3 2 1]开发工具: Java文件大小: 14327 KB上传时间: 2016-04-18下载次数: 0详细说明:简单一个监控程序小工具,主要监测jar程序是否运行,定时上报数据。引用ClassPathXmlApplicationContext xml = ContextLoader.getContext()AppMon...
Wazuh详解
kuokay的博客
06-16 1183
Wazuh是一款开源安全检测与响应平台,提供终端防护、威胁检测、云安全等核心功能。它基于客户端-服务器架构,通过代理收集主机日志数据,由服务器分析后存储到索引器集群,并通过Kibana可视化展示。Wazuh支持多种操作系统,具备恶意软件检测、文件完整性监控、漏洞扫描等能力,同时满足PCI-DSS、GDPR等合规要求。其架构采用加密通信,确保数据传输安全,适用于企业级安全监控与威胁响应场景。
MonitorAgent
08-17
可实现定时轮询;开发服务器监控程序;定时任务程序等;
免费开源的安全平台:Wazuh!你的安全守护者
2401_83063795的博客
08-01 1261
Wazuh:独属于你的全方位安全监控专家
主机安全---开源wazuh安装
最新发布
qq_31292011的博客
07-16 493
Wazuh 是一款免费开源的终端安全监控平台,支持威胁检测、完整性监控、事件响应和合规性管理,适用于企业级安全运维场景。:基于 OpenSearch 的日志存储与检索组件。:核心管理节点,处理代理上报的数据并执行规则检测。:基于 OpenSearch Dashboards 的可视化界面。
Goldengate Monitor & Agent 安装
gsforget321的博客
05-16 2976
Oracle goldengate monitor & Agent 安装
线程池监控-bytebuddy-agent模式
yxkong的专栏
04-20 3171
项目地址:https://github.com/yxkong/agent目前已实现对线程池、jvm的监控;主要是在线程池创建时,对线程池进行增强,将线程池强引用到bootstrap-load-client-0.1.jar中的ThreadPoolMonitorData里。 使用此包的前提是线程池是固定资源,启动后不会销毁,如果动态创建线程池并销毁,需要调用shutdown或者shutdowNow,这块已实现对对强引用的解除,否则因为这块强引用导致资源无法释放,没法被gc回收bootstrap-loa
wazuh-ruleset:Wazuh-规则集
02-03
1. **Agent**: 安装在被监控系统上的轻量级代理,负责收集系统事件、文件完整性检查、网络流量分析等,并将这些信息发送到Wazuh服务器。 2. **Server**: 接收并处理来自代理的数据,执行规则引擎进行分析,提供报警...
Ansible-wazuh-ansible.zip
09-18
在“Ansible-wazuh-ansible.zip”这个压缩包中,包含的是一个名为“wazuh-ansible-master”的项目,它主要用于使用Ansible来自动化Wazuh的安全监控和日志分析平台的部署。 Wazuh是一款开源的安全操作中心(SOC)、...
wazuh-webshell检测规则
12-20
Wazuh是一款开源的安全监控平台,能够帮助用户检测和预防各种安全威胁,其中包括Webshell。本文将深入探讨Wazuh如何实现Webshell的检测规则,以及如何利用这些规则来保护你的网络环境。 首先,我们需要理解Wazuh的...
Wazuh-RESTful API:远程管理Wazuh与安全监控
3. **日常操作**:Wazuh API简化了日常操作,例如添加新代理(agent)到系统、检查Wazuh配置的正确性、查询系统检查(syscheck)文件的更新等。这些操作是安全运维中的基础任务。 4. **主要功能**: - **代理商...
wazuh, Wazuh主机和端点安全性.zip
09-18
wazuh, Wazuh主机和端点安全性 Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
wazuh
Devotedakura的博客
08-20 2574
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
wazuh介绍
q1415500189的博客
08-18 1995
wazuh搭建
Wazuh: 一款超强大的威胁预防、检测安全平台!支持虚拟化、容器化和云环境保护
coderroad的博客
03-20 2610
是一个功能强大且高度灵活的开源安全平台,旨在为企业和组织提供全面的威胁预防和检测能力。它集成了多种安全功能,包括入侵检测、漏洞管理、合规性监控等,能够有效地保护企业的网络和系统安全。
Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 2014
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
【无标题】wazuh
weixin_64623293的博客
09-01 365
总体分析:通过 LD_PRELOAD 劫持了函数,劫持后启动了一个新进程,若不在新进程启动前取消 LD_PRELOAD,则将陷入无限循环,所以必须得删除环境变量 LD_PRELOAD,最直接的就是调用。对于 Wazuh 或 Elastic Stack 的每个新版本,Wazuh 的开发团队都会彻底测试每个组件的兼容性,并在发布新的 Wazuh Kibana 插件之前进行必要的调整。告警信息查看,在alerts.js中,里面可以看到促发的规则,登录IP,登录端口,登录时间以及登录成功或失败等。
--> Finished Dependency Resolution Error: wazuh-manager conflicts with wazuh-agent-4.3.11-1.i386 Error: wazuh-agent conflicts with wazuh-manager-4.4.3-1.x86_64 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest怎么办
06-09
这个错误提示表明wazuh-manager和wazuh-agent之间存在冲突,导致无法安装。建议你尝试使用--skip-broken选项来绕过这个问题,或者运行rpm -Va --nofiles --nodigest命令来修复已损坏的包。如果问题仍然存在,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

byte_knight

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值