Работа с агентами в системе macOS
Агент запускается на узле, работу которого требуется контролировать, и взаимодействует с менеджером. Данные в режиме реального времени отправляются по зашифрованному каналу.
Установка и обновление агента
Установка и обновление агента поддерживаются в системе macOS Sierra или более поздней версии.
Чтобы установить или обновить агент:
-
Загрузите пакет установки агента для macOS. Доступные пакеты:
-
Перейдите в папку загрузки пакета и создайте bash-скрипт со следующим содержимым:
AGENT_DEPLOYMENT_VARS="/tmp/rpoint_envs" AGENT_START_AFTER_INSTALL="/tmp/RPOINT_START" function install_rpoint(){ echo "Deploying the following variables $1" touch ${AGENT_START_AFTER_INSTALL} eval "echo \"$1\" > ${AGENT_DEPLOYMENT_VARS} && installer -pkg rpoint-agent-x.y.z.pkg -target /" } install_rpoint "WAZUH_MANAGER_PORT='1514' && WAZUH_PROTOCOL='tcp' && RPOINT_MANAGER='<адрес менеджера>'"Здесь
rpoint-agent-x.y.z.pkg— название пакета установки. -
Запустите созданный bash-скрипт:
sh install-agent-script.sh
Здесь
install-agent-script.sh— название скрипта. -
Чтобы завершить процесс установки, запустите агент. Агент будет зарегистрирован в менеджере.
По умолчанию все файлы агента после установки сохраняются в /Library/Ossec/.
Запуск агента
Чтобы запустить агент, выполните следующую команду:
sudo /Library/Ossec/bin/wazuh-control startУдаление агента
Чтобы удалить агент, выполните следующие команды:
-
Остановите службу агента:
/Library/Ossec/bin/wazuh-control stop -
Удалите папку
/Library/Ossec/:/bin/rm -r /Library/Ossec -
Остановите и выгрузите диспетчер:
/bin/launchctl unload /Library/LaunchDaemons/com.wazuh.agent.plist -
Удалите launchdaemons и StartupItems:
/bin/rm -f /Library/LaunchDaemons/com.wazuh.agent.plist /bin/rm -rf /Library/StartupItems/WAZUH -
Удалите пользователей и группы:
/usr/bin/dscl . -delete '/Users/wazuh' /usr/bin/dscl . -delete '/Groups/wazuh' -
Удалите данные из pkgutil:
/usr/sbin/pkgutil --forget com.wazuh.pkg.rpoint-agent
Агент будет полностью удален из системы.
