Closed cristgl closed 5 years ago
OS: Ubuntu 19.04 (GNU/Linux 5.0.0-25-generic x86_64)
apt remove wazuh-agent/wazuh-manager
.Wazuh manager:
root@lopezziur:/var/ossec# tree /var/ossec/
/var/ossec/
├── backup
│ └── agents
│ └── 2019
│ └── Aug
│ └── 30
│ └── 001-agent-10.0.0.5
├── etc
│ ├── client.keys.save
│ ├── decoders
│ │ └── local_decoder.xml.save
│ ├── lists
│ │ ├── amazon
│ │ │ ├── aws-eventnames.cdb.save
│ │ │ ├── aws-eventnames.save
│ │ │ └── aws-sources.save
│ │ ├── audit-keys.cdb.save
│ │ ├── audit-keys.save
│ │ ├── security-eventchannel.cdb.save
│ │ └── security-eventchannel.save
│ ├── local_internal_options.conf.save
│ ├── ossec.conf.save
│ ├── rootcheck
│ │ ├── cis_apache2224_rcl.txt.save
│ │ ├── cis_debian_linux_rcl.txt.save
│ │ ├── cis_mysql5-6_community_rcl.txt.save
│ │ ├── cis_mysql5-6_enterprise_rcl.txt.save
│ │ ├── cis_rhel5_linux_rcl.txt.save
│ │ ├── cis_rhel6_linux_rcl.txt.save
│ │ ├── cis_rhel7_linux_rcl.txt.save
│ │ ├── cis_rhel_linux_rcl.txt.save
│ │ ├── cis_sles11_linux_rcl.txt.save
│ │ ├── cis_sles12_linux_rcl.txt.save
│ │ ├── cis_win2012r2_domainL1_rcl.txt.save
│ │ ├── cis_win2012r2_domainL2_rcl.txt.save
│ │ ├── cis_win2012r2_memberL1_rcl.txt.save
│ │ ├── cis_win2012r2_memberL2_rcl.txt.save
│ │ ├── rootkit_files.txt.save
│ │ ├── rootkit_trojans.txt.save
│ │ ├── system_audit_rcl.txt.save
│ │ ├── system_audit_ssh.txt.save
│ │ ├── win_applications_rcl.txt.save
│ │ ├── win_audit_rcl.txt.save
│ │ └── win_malware_rcl.txt.save
│ ├── rules
│ │ └── local_rules.xml.save
│ ├── shared
│ │ ├── ar.conf.save
│ │ └── default
│ │ └── merged.mg.save
│ ├── sslmanager.cert.save
│ └── sslmanager.key.save
├── logs
│ ├── alerts
│ │ ├── 2019
│ │ │ └── Aug
│ │ │ ├── ossec-alerts-30.json
│ │ │ └── ossec-alerts-30.log
│ │ ├── alerts.json
│ │ └── alerts.log
│ ├── archives
│ │ ├── 2019
│ │ │ └── Aug
│ │ │ └── ossec-archive-30.log
│ │ └── archives.log
│ ├── cluster.log
│ ├── firewall
│ │ ├── 2019
│ │ │ └── Aug
│ │ │ └── ossec-firewall-30.log
│ │ └── firewall.log
│ └── ruleset.log
└── ruleset
└── sca
├── cis_debian7_L1.yml.disabled
├── cis_debian7_L2.yml.disabled
├── cis_debian9_L1.yml
└── cis_debian9_L2.yml
26 directories, 51 files
root@lopezziur:/var/ossec# ls /var/ossec/
Wazuh agent:
root@agent:~# tree /var/ossec/
/var/ossec/
├── etc
│ ├── client.keys.save
│ ├── local_internal_options.conf.save
│ ├── ossec.conf.save
│ └── shared
│ ├── agent.conf.save
│ ├── ar.conf.save
│ ├── cis_apache2224_rcl.txt.save
│ ├── cis_debian_linux_rcl.txt.save
│ ├── cis_mysql5-6_community_rcl.txt.save
│ ├── cis_mysql5-6_enterprise_rcl.txt.save
│ ├── cis_rhel5_linux_rcl.txt.save
│ ├── cis_rhel6_linux_rcl.txt.save
│ ├── cis_rhel7_linux_rcl.txt.save
│ ├── cis_rhel_linux_rcl.txt.save
│ ├── cis_sles11_linux_rcl.txt.save
│ ├── cis_sles12_linux_rcl.txt.save
│ ├── cis_win2012r2_domainL1_rcl.txt.save
│ ├── cis_win2012r2_domainL2_rcl.txt.save
│ ├── cis_win2012r2_memberL1_rcl.txt.save
│ ├── cis_win2012r2_memberL2_rcl.txt.save
│ ├── merged.mg.save
│ ├── rootkit_files.txt.save
│ ├── rootkit_trojans.txt.save
│ ├── system_audit_rcl.txt.save
│ ├── system_audit_ssh.txt.save
│ ├── win_applications_rcl.txt.save
│ ├── win_audit_rcl.txt.save
│ └── win_malware_rcl.txt.save
├── ruleset
│ └── sca
│ ├── cis_debian9_L1.yml
│ └── cis_debian9_L2.yml
└── var
└── wodles
└── syscollector
6 directories, 30 files
apt remove wazuh-agent/wazuh-manager
.Wazuh manager:
root@agent:~# systemctl status wazuh-manager
● wazuh-manager.service - Wazuh manager
Loaded: loaded (/etc/systemd/system/wazuh-manager.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Aug 30 10:10:45 agent env[4354]: Killing ossec-execd...
Aug 30 10:10:45 agent env[4354]: Killing wazuh-db...
Aug 30 10:10:46 agent env[4354]: Killing ossec-authd...
Aug 30 10:10:46 agent env[4354]: ossec-agentlessd not running...
Aug 30 10:10:46 agent env[4354]: ossec-integratord not running...
Aug 30 10:10:46 agent env[4354]: ossec-dbd not running...
Aug 30 10:10:46 agent env[4354]: ossec-csyslogd not running...
Aug 30 10:10:47 agent env[4354]: Wazuh v3.10.0 Stopped
Aug 30 10:10:47 agent systemd[1]: wazuh-manager.service: Succeeded.
Aug 30 10:10:47 agent systemd[1]: Stopped Wazuh manager.
Wazuh agent:
root@agent:~# systemctl status wazuh-agent
● wazuh-agent.service - Wazuh agent
Loaded: loaded (/etc/systemd/system/wazuh-agent.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Aug 30 05:53:00 agent systemd[1]: Starting Wazuh agent...
Aug 30 05:53:00 agent env[789]: 2019/08/30 05:53:00 ossec-agentd: CRITICAL: (1751): File client.keys not f
Aug 30 05:53:00 agent env[789]: ossec-agentd: Configuration error. Exiting
Aug 30 05:53:01 agent systemd[1]: wazuh-agent.service: Control process exited, code=exited, status=1/FAILU
Aug 30 05:53:01 agent systemd[1]: wazuh-agent.service: Failed with result 'exit-code'.
Aug 30 05:53:01 agent systemd[1]: Failed to start Wazuh agent.
Regards, Eva
Ping @wazuh/cicd
OS: CentOS 7
Wazuh manager: Following file stay when I remove Wazuh:
[root@agent2 vagrant]# tree /var/ossec/
/var/ossec/
└── etc
├── ossec.conf.rpmsave
├── shared.save
│ ├── ar.conf
│ └── default
│ └── merged.mg
├── sslmanager.cert.save
└── sslmanager.key.save
3 directories, 5 files
[root@agent2 vagrant]#
Note: merged.mg
Following files stay if I update Ruleset and then I remove Wazuh:
[root@agent2 vagrant]# tree /var/ossec/
/var/ossec/
├── etc
│ ├── ossec.conf.rpmsave
│ ├── shared.save
│ │ ├── ar.conf
│ │ └── default
│ │ └── merged.mg
│ ├── sslmanager.cert.save
│ └── sslmanager.key.save
└── tmp
└── ruleset
└── downloads
├── ruleset.zip
└── wazuh-ruleset
├── CHANGELOG.md
├── decoders
│ ├── 0005-wazuh_decoders.xml
│ ├── 0006-json_decoders.xml
│ ├── 0010-active-response_decoders.xml
│ ├── 0015-aix-ipsec_decoders.xml
│ ├── 0025-apache_decoders.xml
│ ├── 0030-arpwatch_decoders.xml
│ ├── 0035-asterisk_decoders.xml
│ ├── 0040-auditd_decoders.xml
│ ├── 0045-barracuda_decoders.xml
│ ├── 0050-checkpoint_decoders.xml
│ ├── 0055-cimserver_decoders.xml
│ ├── 0060-cisco-estreamer_decoders.xml
│ ├── 0065-cisco-ios_decoders.xml
│ ├── 0070-cisco-vpn_decoders.xml
│ ├── 0075-clamav_decoders.xml
│ ├── 0080-courier_decoders.xml
│ ├── 0085-dovecot_decoders.xml
│ ├── 0090-dragon-nids_decoders.xml
│ ├── 0095-dropbear_decoders.xml
│ ├── 0100-fortigate_decoders.xml
│ ├── 0105-freeipa_decoders.xml
│ ├── 0110-ftpd_decoders.xml
│ ├── 0115-grandstream_decoders.xml
│ ├── 0120-horde_decoders.xml
│ ├── 0125-hp_decoders.xml
│ ├── 0130-imapd_decoders.xml
│ ├── 0135-imperva_decoders.xml
│ ├── 0140-kernel_decoders.xml
│ ├── 0145-mailscanner_decoders.xml
│ ├── 0150-mysql_decoders.xml
│ ├── 0155-named_decoders.xml
│ ├── 0160-netscaler_decoders.xml
│ ├── 0165-netscreen_decoders.xml
│ ├── 0170-nginx_decoders.xml
│ ├── 0175-ntpd_decoders.xml
│ ├── 0180-openbsd_decoders.xml
│ ├── 0185-openldap_decoders.xml
│ ├── 0190-openvpn_decoders.xml
│ ├── 0195-oscap_decoders.xml
│ ├── 0200-ossec_decoders.xml
│ ├── 0205-pam_decoders.xml
│ ├── 0210-pix_decoders.xml
│ ├── 0215-portsentry_decoders.xml
│ ├── 0220-postfix_decoders.xml
│ ├── 0225-postgresql_decoders.xml
│ ├── 0230-proftpd_decoders.xml
│ ├── 0235-puppet_decoders.xml
│ ├── 0240-pure-ftpd_decoders.xml
│ ├── 0245-racoon_decoders.xml
│ ├── 0250-redis_decoders.xml
│ ├── 0255-roundcube_decoders.xml
│ ├── 0260-rsa-auth-manager_decoders.xml
│ ├── 0265-rshd_decoders.xml
│ ├── 0270-samba_decoders.xml
│ ├── 0275-sendmail_decoders.xml
│ ├── 0280-serv-u_decoders.xml
│ ├── 0285-snort_decoders.xml
│ ├── 0290-solaris_decoders.xml
│ ├── 0295-sonicwall_decoders.xml
│ ├── 0300-sophos_decoders.xml
│ ├── 0305-squid_decoders.xml
│ ├── 0310-ssh_decoders.xml
│ ├── 0315-su_decoders.xml
│ ├── 0320-sudo_decoders.xml
│ ├── 0325-suhosin_decoders.xml
│ ├── 0330-symantec_decoders.xml
│ ├── 0335-telnet_decoders.xml
│ ├── 0340-trend-osce_decoders.xml
│ ├── 0345-unbound_decoders.xml
│ ├── 0350-unix_decoders.xml
│ ├── 0355-vm-pop3_decoders.xml
│ ├── 0360-vmware_decoders.xml
│ ├── 0365-vpopmail_decoders.xml
│ ├── 0370-vsftpd_decoders.xml
│ ├── 0375-web-accesslog_decoders.xml
│ ├── 0378-mariadb_decoders.xml
│ ├── 0379-dpkg_decoders.xml
│ ├── 0380-windows_decoders.xml
│ ├── 0385-wordpress_decoders.xml
│ ├── 0390-zeus_decoders.xml
│ ├── 0395-sqlserver_decoders.xml
│ ├── 0400-identity_guard_decoders.xml
│ ├── 0405-mongodb_decoders.xml
│ ├── 0410-docker_decoders.xml
│ ├── 0415-jenkins_decoders.xml
│ ├── 0420-vshell_decoders.xml
│ ├── 0425-qualysguard_decoders.xml
│ ├── 0430-cylance_decoders.xml
│ ├── 0435-owncloud_decoders.xml
│ ├── 0440-proxmox-ve_decoders.xml
│ ├── 0445-exim_decoders.xml
│ ├── 0450-openvas_decoders.xml
│ ├── 0455-pfsense_decoders.xml
│ ├── 0460-kaspersky_decoders.xml
│ └── 0465-azure_decoders.xml
├── lists
│ ├── amazon
│ │ ├── aws-eventnames
│ │ └── aws-sources
│ ├── audit-keys
│ └── security-eventchannel
├── README.md
├── rootchecks
│ ├── cis_apache2224_rcl.txt
│ ├── cis_debian_linux_rcl.txt
│ ├── cis_mysql5-6_community_rcl.txt
│ ├── cis_mysql5-6_enterprise_rcl.txt
│ ├── cis_rhel5_linux_rcl.txt
│ ├── cis_rhel6_linux_rcl.txt
│ ├── cis_rhel7_linux_rcl.txt
│ ├── cis_rhel_linux_rcl.txt
│ ├── cis_sles11_linux_rcl.txt
│ ├── cis_sles12_linux_rcl.txt
│ ├── cis_win2012r2_domainL1_rcl.txt
│ ├── cis_win2012r2_domainL2_rcl.txt
│ ├── cis_win2012r2_memberL1_rcl.txt
│ ├── cis_win2012r2_memberL2_rcl.txt
│ ├── rootkit_files.txt
│ ├── rootkit_trojans.txt
│ ├── system_audit_rcl.txt
│ ├── system_audit_ssh.txt
│ ├── win_applications_rcl.txt
│ ├── win_audit_rcl.txt
│ └── win_malware_rcl.txt
├── rules
│ ├── 0010-rules_config.xml
│ ├── 0015-ossec_rules.xml
│ ├── 0016-wazuh_rules.xml
│ ├── 0020-syslog_rules.xml
│ ├── 0025-sendmail_rules.xml
│ ├── 0030-postfix_rules.xml
│ ├── 0035-spamd_rules.xml
│ ├── 0040-imapd_rules.xml
│ ├── 0045-mailscanner_rules.xml
│ ├── 0050-ms-exchange_rules.xml
│ ├── 0055-courier_rules.xml
│ ├── 0060-firewall_rules.xml
│ ├── 0065-pix_rules.xml
│ ├── 0070-netscreenfw_rules.xml
│ ├── 0075-cisco-ios_rules.xml
│ ├── 0080-sonicwall_rules.xml
│ ├── 0085-pam_rules.xml
│ ├── 0090-telnetd_rules.xml
│ ├── 0095-sshd_rules.xml
│ ├── 0100-solaris_bsm_rules.xml
│ ├── 0105-asterisk_rules.xml
│ ├── 0110-ms_dhcp_rules.xml
│ ├── 0115-arpwatch_rules.xml
│ ├── 0120-symantec-av_rules.xml
│ ├── 0125-symantec-ws_rules.xml
│ ├── 0130-trend-osce_rules.xml
│ ├── 0135-hordeimp_rules.xml
│ ├── 0140-roundcube_rules.xml
│ ├── 0145-wordpress_rules.xml
│ ├── 0150-cimserver_rules.xml
│ ├── 0155-dovecot_rules.xml
│ ├── 0160-vmpop3d_rules.xml
│ ├── 0165-vpopmail_rules.xml
│ ├── 0170-ftpd_rules.xml
│ ├── 0175-proftpd_rules.xml
│ ├── 0180-pure-ftpd_rules.xml
│ ├── 0185-vsftpd_rules.xml
│ ├── 0190-ms_ftpd_rules.xml
│ ├── 0195-named_rules.xml
│ ├── 0200-smbd_rules.xml
│ ├── 0205-racoon_rules.xml
│ ├── 0210-vpn_concentrator_rules.xml
│ ├── 0215-policy_rules.xml
│ ├── 0220-msauth_rules.xml
│ ├── 0225-mcafee_av_rules.xml
│ ├── 0230-ms-se_rules.xml
│ ├── 0235-vmware_rules.xml
│ ├── 0240-ids_rules.xml
│ ├── 0245-web_rules.xml
│ ├── 0250-apache_rules.xml
│ ├── 0255-zeus_rules.xml
│ ├── 0260-nginx_rules.xml
│ ├── 0265-php_rules.xml
│ ├── 0270-web_appsec_rules.xml
│ ├── 0275-squid_rules.xml
│ ├── 0280-attack_rules.xml
│ ├── 0285-systemd_rules.xml
│ ├── 0290-firewalld_rules.xml
│ ├── 0295-mysql_rules.xml
│ ├── 0300-postgresql_rules.xml
│ ├── 0305-dropbear_rules.xml
│ ├── 0310-openbsd_rules.xml
│ ├── 0315-apparmor_rules.xml
│ ├── 0320-clam_av_rules.xml
│ ├── 0325-opensmtpd_rules.xml
│ ├── 0330-sysmon_rules.xml
│ ├── 0335-unbound_rules.xml
│ ├── 0340-puppet_rules.xml
│ ├── 0345-netscaler_rules.xml
│ ├── 0350-amazon_rules.xml
│ ├── 0360-serv-u_rules.xml
│ ├── 0365-auditd_rules.xml
│ ├── 0375-usb_rules.xml
│ ├── 0380-redis_rules.xml
│ ├── 0385-oscap_rules.xml
│ ├── 0390-fortigate_rules.xml
│ ├── 0395-hp_rules.xml
│ ├── 0400-openvpn_rules.xml
│ ├── 0405-rsa-auth-manager_rules.xml
│ ├── 0410-imperva_rules.xml
│ ├── 0415-sophos_rules.xml
│ ├── 0420-freeipa_rules.xml
│ ├── 0425-cisco-estreamer_rules.xml
│ ├── 0430-ms_wdefender_rules.xml
│ ├── 0435-ms_logs_rules.xml
│ ├── 0440-ms_sqlserver_rules.xml
│ ├── 0445-identity_guard_rules.xml
│ ├── 0450-mongodb_rules.xml
│ ├── 0455-docker_rules.xml
│ ├── 0460-jenkins_rules.xml
│ ├── 0470-vshell_rules.xml
│ ├── 0475-suricata_rules.xml
│ ├── 0480-qualysguard_rules.xml
│ ├── 0485-cylance_rules.xml
│ ├── 0490-virustotal_rules.xml
│ ├── 0495-proxmox-ve_rules.xml
│ ├── 0500-owncloud_rules.xml
│ ├── 0505-vuls_rules.xml
│ ├── 0510-ciscat_rules.xml
│ ├── 0515-exim_rules.xml
│ ├── 0520-vulnerability-detector_rules.xml
│ ├── 0525-openvas_rules.xml
│ ├── 0530-mysql_audit_rules.xml
│ ├── 0535-mariadb_rules.xml
│ ├── 0540-pfsense_rules.xml
│ ├── 0545-osquery_rules.xml
│ ├── 0550-kaspersky_rules.xml
│ ├── 0555-azure_rules.xml
│ ├── 0560-docker_integration_rules.xml
│ ├── 0565-ms_ipsec_rules.xml
│ ├── 0570-sca_rules.xml
│ ├── 0575-win-base_rules.xml
│ ├── 0580-win-security_rules.xml
│ ├── 0585-win-application_rules.xml
│ ├── 0590-win-system_rules.xml
│ ├── 0595-win-sysmon_rules.xml
│ ├── 0600-win-wdefender_rules.xml
│ ├── 0605-win-mcafee_rules.xml
│ ├── 0610-win-ms_logs_rules.xml
│ ├── 0615-win-ms-se_rules.xml
│ ├── 0620-win-generic_rules.xml
│ ├── log-entries
│ │ ├── 101
│ │ ├── 1101
│ │ ├── 1301_1302_1303
│ │ ├── 1401
│ │ ├── 1402
│ │ ├── 1602
│ │ ├── 1603
│ │ ├── 1607
│ │ ├── 1609
│ │ ├── 1901
│ │ ├── 1902
│ │ ├── 1903
│ │ ├── 1905
│ │ ├── 201
│ │ ├── 202
│ │ ├── 204
│ │ ├── 2501
│ │ ├── 2601
│ │ ├── 301
│ │ ├── 401
│ │ ├── 403
│ │ ├── 408
│ │ ├── 409
│ │ ├── access-control
│ │ ├── apache-error.logs
│ │ ├── ciscoios
│ │ ├── cisco-ios-ids
│ │ ├── ftpd
│ │ ├── iis6
│ │ ├── imapd
│ │ ├── kernel
│ │ ├── mail-alerts
│ │ ├── mail-errors
│ │ ├── ns1
│ │ ├── postfix.ini
│ │ ├── proftpd
│ │ ├── smbd
│ │ ├── spamd
│ │ ├── sshd
│ │ ├── symantecws
│ │ ├── telnetd
│ │ ├── unkown
│ │ ├── vpn.log
│ │ ├── vpopmail
│ │ ├── worms
│ │ └── xferlog
│ └── translated
│ └── pure_ftpd
│ ├── pure-ftpd_rules_da.xml
│ ├── pure-ftpd_rules_de.xml
│ ├── pure-ftpd_rules_en.xml
│ ├── pure-ftpd_rules_es.xml
│ ├── pure-ftpd_rules_fr_funny.xml
│ ├── pure-ftpd_rules_fr.xml
│ ├── pure-ftpd_rules_it.xml
│ ├── pure-ftpd_rules_nl.xml
│ ├── pure-ftpd_rules_no.xml
│ ├── pure-ftpd_rules_pt_br.xml
│ ├── pure-ftpd_rules_ro.xml
│ ├── pure-ftpd_rules_sk.xml
│ ├── pure-ftpd_rules_sv.xml
│ └── pure-ftpd_rules_tr.xml
├── rules_reference.md
├── sca
│ ├── applications
│ │ ├── cis_apache2224_rcl.yml
│ │ ├── cis_mysql5-6_community_rcl.yml
│ │ └── cis_mysql5-6_enterprise_rcl.yml
│ ├── darwin
│ │ ├── 15
│ │ │ └── cis_apple_macOS_10.11.yml
│ │ ├── 16
│ │ │ └── cis_apple_macOS_10.12.yml
│ │ ├── 17
│ │ │ └── cis_apple_macOS_10.13.yml
│ │ └── system_audit_rcl_mac.yml
│ ├── debian
│ │ ├── cis_debianlinux7-8_L1_rcl.yml
│ │ ├── cis_debianlinux7-8_L2_rcl.yml
│ │ └── cis_debian_linux_rcl.yml
│ ├── generic
│ │ ├── system_audit_pw.yml
│ │ ├── system_audit_rcl.yml
│ │ └── system_audit_ssh.yml
│ ├── rhel
│ │ ├── 5
│ │ │ └── cis_rhel5_linux_rcl.yml
│ │ ├── 6
│ │ │ └── cis_rhel6_linux_rcl.yml
│ │ └── 7
│ │ └── cis_rhel7_linux_rcl.yml
│ ├── sles
│ │ ├── 11
│ │ │ └── cis_sles11_linux_rcl.yml
│ │ └── 12
│ │ └── cis_sles12_linux_rcl.yml
│ ├── sunos
│ │ └── cis_solaris11_rcl.yml
│ └── windows
│ ├── acsc_office2016_rcl.yml
│ ├── cis_win10_enterprise_L1_rcl.yml
│ ├── cis_win10_enterprise_L2_rcl.yml
│ ├── cis_win2012r2_domainL1_rcl.yml
│ ├── cis_win2012r2_domainL2_rcl.yml
│ ├── cis_win2012r2_memberL1_rcl.yml
│ ├── cis_win2012r2_memberL2_rcl.yml
│ └── win_audit_rcl.yml
├── scap_content
│ ├── cve-debian-8-oval.xml
│ ├── cve-debian-9-oval.xml
│ ├── cve-redhat-6-ds.xml
│ ├── cve-redhat-7-ds.xml
│ ├── cve-ubuntu-xenial-oval.xml
│ ├── ssg-centos-6-ds.xml
│ ├── ssg-centos-7-ds.xml
│ ├── ssg-debian-8-ds.xml
│ ├── ssg-fedora-24-ds.xml
│ ├── ssg-rhel-6-ds.xml
│ ├── ssg-rhel-7-ds.xml
│ ├── ssg-ubuntu-1404-ds.xml
│ └── ssg-ubuntu-1604-ds.xml
├── tools
│ ├── amazon
│ │ └── getawslog.py
│ ├── cve-xccdf
│ │ ├── cve-xccdf-update.sh
│ │ ├── oval-to-xccdf.xslt
│ │ └── xccdf_1.1_to_1.2.xsl
│ ├── file-testing
│ │ └── file_test.py
│ └── rules-testing
│ ├── runtests.py
│ └── tests
│ ├── apache.ini
│ ├── apparmor.ini
│ ├── cimserver.ini
│ ├── cisco_ios.ini
│ ├── cpanel.ini
│ ├── doas.ini
│ ├── dovecot.ini
│ ├── exim.ini
│ ├── firewalld.ini
│ ├── mailscanner.ini
│ ├── modsecurity.ini
│ ├── named.ini
│ ├── netscreen.ini
│ ├── nginx.ini
│ ├── opensmtpd.ini
│ ├── oscap.ini
│ ├── ossec.ini
│ ├── pam.ini
│ ├── postfix.ini
│ ├── proftpd.ini
│ ├── rsh.ini
│ ├── samba.ini
│ ├── sshd.ini
│ ├── sudo.ini
│ ├── su.ini
│ ├── syslog.ini
│ ├── sysmon.ini
│ ├── systemd.ini
│ ├── unbound.ini
│ ├── vsftpd.ini
│ ├── web_appsec.ini
│ └── web_rules.ini
├── update_ruleset
└── VERSION
39 directories, 390 files
Regards, Eva
OS: CentOS 5 and CentOS 7
Following files and directories stay after I remove Wazuh agent from CentOS 5 and CentOS 7:
[root@agent2 ossec]# tree /var/ossec/
/var/ossec/
|-- etc
| |-- client.keys.rpmsave
| `-- ossec.conf.rpmsave
`-- ruleset
2 directories, 2 files
Note ruleset directory is empty and SCA policies are removed
OS: AIX soaxp427 3 5
I install Wazuh agent using the following command:
# rpm -ivh wazuh-agent-3.10.0-1.aix.ppc.rpm
wazuh-agent ##################################################
wazuh-agent
seems to be installed:
# ls /var/ossec
.ssh backup lib ruleset wodles
active-response bin logs tmp
agentless etc queue var
# /var/ossec/bin/ossec-control status
wazuh-modulesd not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-agentd not running...
ossec-execd not running...
Then, when I try to remove it following error messages appear:
# rpm -e wazuh-agent-3.10.0-1.aix.ppc.rpm
error: package wazuh-agent-3.10.0-1.aix.ppc.rpm is not installed
And ossec-init.conf
is not correct:
# cat /etc/ossec-init.conf
DIRECTORY="/var/ossec"
NAME="Wazuh"
VERSION="v3.10.0"
REVISION="31007"
DATE="Thu Aug 29 03:05:47 CDT 2019"
TYPE="agent"
# date
Mon Sep 2 10:35:00 CDT 2019
And wazuh-agent
start although it is not connected to the manager:
# /var/ossec/bin/ossec-control start
Starting Wazuh v3.10.0...
Started ossec-execd...
Started ossec-agentd...
Started ossec-syscheckd...
Started ossec-logcollector...
Started wazuh-modulesd...
Completed.
# /var/ossec/bin/ossec-control status
wazuh-modulesd is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...
OS: Solaris 11 Intel
I install wazuh-agent
and it seems to be installed correctly:
root@agent3:/export/home/vagrant# ls /var/ossec/
active-response backup etc logs ruleset var
agentless bin lib queue tmp wodles
root@agent3:/export/home/vagrant# /var/ossec/bin/ossec-control status
wazuh-modulesd not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-agentd not running...
ossec-execd not running...
I try to start wazuh-agent
and it fails (it's okay):
root@agent3:/export/home/vagrant# /var/ossec/bin/ossec-control start
2019/09/02 18:13:07 ossec-agentd: CRITICAL: (1751): File client.keys not found or empty.
ossec-agentd: Configuration error. Exiting
But, when ossec-init.conf
doesn't seems to be correct:
root@agent3:/export/home/vagrant# cat /etc/ossec-init.conf
DIRECTORY="/var/ossec"
NAME="Wazuh"
VERSION="v3.10.0"
REVISION="31007"
DATE="Wednesday, August 28, 2019 08:54:52 PM EEST"
TYPE="agent"
root@agent3:/export/home/vagrant# date
lunes, 2 de septiembre de 2019, 18:12:23 (CEST)
Installation test
RPM (Linux)
DEB (Linux)
Mac OS X
Solaris (Intel)
Solaris (SPARC)
(HP-UX)
AIX
Sources