Mặc định wazuh sẽ chỉ cập nhập các thông số về network và Network settings... sẽ là một tiếng cập nhập một lần. thời gian này là quá lâu chúng ta cần sửa lại thông tin này về nhanh hơn và chỉ khoảng một phút sẽ phải cập nhập lại tình trạng một lần.
Sau một thời gian loay hay mình đã tìm ra cách sửa như sau đầu tiên chúng ta cần sửa code của file /var/ossec/etc/ossec.conf. tìm tới đoạn như bên dưới
<!-- System inventory -->
<wodle name="syscollector">
<disabled>no</disabled>
<interval>1h</interval>
<scan_on_start>yes</scan_on_start>
<hardware>yes</hardware>
<os>yes</os>
<network>yes</network>
<packages>yes</packages>
<ports all="no">yes</ports>
<processes>yes</processes>
</wodle>
Sửa 1h thành thời gian 1m(tức 1 phút)
<!-- System inventory -->
<wodle name="syscollector">
<disabled>no</disabled>
<interval>1m</interval>
<scan_on_start>yes</scan_on_start>
<hardware>yes</hardware>
<os>yes</os>
<network>yes</network>
<packages>yes</packages>
<ports all="no">yes</ports>
<processes>yes</processes>
</wodle>
Sau đó lưu lại chúng ta vào tiếp thư mục /var/ossec/etc/shared/. trong thư mục này chúng ta tìm thư mục group cái này là đi theo tên của nó ví dụ hình bên dưới
Tất cả các thư mục trong này đều là groupname của các bạn chúng ta vào thư mục tương ứng chọn và sửa file agent.conf
Nếu file đó trống thì chúng ta thêm đoạn code sau vào nếu đã có thì sửa thông tin và lưu lại!
<agent_config>
<!-- Shared agent configuration here -->
<!-- System inventory -->
<wodle name="syscollector">
<disabled>no</disabled>
<interval>1m</interval>
<scan_on_start>yes</scan_on_start>
<hardware>yes</hardware>
<os>yes</os>
<network>yes</network>
<packages>yes</packages>
<ports all="no">yes</ports>
<processes>yes</processes>
</wodle>
</agent_config>
Sau đó quay lại giao diện wazuh các bạn sẽ thấy nó được cập nhập theo phút!
Không có nhận xét nào:
Đăng nhận xét