📘 Dokumentation: Alle Befehle basieren auf dem
Agent Management Runbook
🔧 Befehls-Generator
📚 Häufige Operationen
1. Neue Gruppe erstellen
Erstellen Sie eine neue Agent-Gruppe für spezifische Konfigurationen
/var/ossec/bin/agent_groups -a -g webservers
Verwendung: Für Webserver mit speziellen Security-Policies
2. Agent einer Gruppe zuweisen
Weisen Sie einen bestehenden Agent einer Gruppe zu
/var/ossec/bin/agent_groups -a -i 001 -g webservers
Ergebnis: Agent 001 erhält die webservers-Konfiguration
3. Gruppenkonfiguration erstellen
Erstellen Sie eine agent.conf für Ihre Gruppe
cat > /var/ossec/etc/shared/webservers/agent.conf << EOF
<agent_config>
<localfile>
<location>/var/log/nginx/access.log</location>
<log_format>syslog</log_format>
</localfile>
</agent_config>
EOF
Hinweis: Konfiguration wird automatisch an Gruppenagenten verteilt
4. Agenten einer Gruppe auflisten
Zeigen Sie alle Agenten in einer bestimmten Gruppe an
/var/ossec/bin/agent_groups -l -g webservers
Ausgabe: Liste aller Agent-IDs und Namen in der Gruppe
5. Alle Gruppen auflisten
Übersicht über alle konfigurierten Agent-Gruppen
/var/ossec/bin/agent_groups -l
Nützlich für: Audit und Inventar
6. Agent aus Gruppe entfernen
Entfernen Sie einen Agent aus einer Gruppe (zurück zu 'default')
/var/ossec/bin/agent_groups -r -i 001 -g webservers
Wichtig: Agent kehrt zur 'default' Gruppe zurück
7. Multi-Group Zuweisung
Ein Agent kann mehreren Gruppen angehören
/var/ossec/bin/agent_groups -a -i 001 -g webservers
/var/ossec/bin/agent_groups -a -i 001 -g production
Resultat: Agent 001 erbt Konfiguration von beiden Gruppen
📖 Schnellreferenz
CLI-Tool: agent_groups
/var/ossec/bin/agent_groups [OPTIONS]
Wichtige Optionen
| Option | Beschreibung | Beispiel |
|---|---|---|
-a |
Add (Gruppe erstellen oder Agent zuweisen) | -a -g webservers |
-g |
Group name | -g production |
-i |
Agent ID | -i 001 |
-l |
List (Gruppen oder Agenten auflisten) | -l -g webservers |
-r |
Remove (Agent aus Gruppe entfernen) | -r -i 001 -g webservers |
-s |
Show agent groups | -s -i 001 |
Dateipfade
# Gruppenkonfigurationen
/var/ossec/etc/shared/<group_name>/agent.conf
# Gruppe-Agent Zuordnung (DB)
/var/ossec/queue/db/global.db
# Agent-Informationen
/var/ossec/etc/client.keys
Best Practices
- Verwenden Sie aussagekräftige Gruppennamen (z.B.
webservers,databases,prod) - Testen Sie neue Gruppenkonfigurationen zuerst mit einem Test-Agent
- Dokumentieren Sie Gruppenzweck und -konfiguration im Kundenkatalog
- Überprüfen Sie Gruppenzuweisungen regelmäßig mit
-l - Halten Sie agent.conf Dateien in Versionskontrolle
- Multi-Group: Maximale Anzahl Gruppen pro Agent beachten (Standard: 128)
⚠️ Wichtige Hinweise
- Änderungen werden automatisch an Agenten verteilt (kann einige Minuten dauern)
- Die Gruppe 'default' existiert immer und kann nicht gelöscht werden
- Gruppenkonfigurationen überschreiben lokale Agent-Konfigurationen
- Bei Multi-Group werden Konfigurationen in der Reihenfolge der Zuweisung angewendet