OSSEC : installation agent Windows

La première installation a été faite sur une machine XP, depuis cette machine a disparu remplacée par une machine "green" souc Windows7. L'installation est identique entre XP et Windows7.

L'installation est simple mais il faut avoir effectué auparavant la déclaration de la nouvelle machine sur le serveur et transférer la clef sur la machine Windows. En effet il est déconseillé de saisir la clef au clavier !
Le début de l'installation est habituel, on reçoit l'avertissement de sécurité, on accepte et l'installeur se lance :

Il faut bien sûr "Exécuter" bien que l'éditeur du produit ne soit pas connu de Microsoft ...

On accepte la licence et on installe tout (je n'utilise pas IIS car je ne suis pas maso) mais comme c'est recommandé ...

L'endroit proposé n'est pas pire qu'un autre et comme cette machine virtuelle n'a qu'un disque ... Ensuite configurer l'adresse du serveur et la phrase de passe (si on n'a pas configuré le client sur le serveur OSSEC on peut encore le faire). Ne pas oublier le "Save" sans qui rien ne se passe.

Si les éléments de la clé sont OK on "Okete" et on passe à la suite. Ben oui, on va le démarrer cet agent, c'est notre but ultime ...

On configure le service pour qu'il ne s'arrête pas sans raison .. et quand on va voir sur l'interface web du serveur, MIRACLE, la liaison est active et on "voit" notre machine XP.

Et en plus on trouve dans sa boite mail une confirmation du démarrage du service.

A partir de maintenant plein de choses vont être "loguées" et donner lieu à un message mail. Il faudra adapter le paramétrage (notamment les niveaux d'alerte donnant lieu à mail) afin de ne pas recevoir de mails pour des évidences car cela risque de noyer des faits intéressants dans une masse de messages purement informatifs. Quoique la connexion d'un administrateur puisse être intéressante à suivre, surtout sur un serveur (Web ou base de données) peu fréquenté par les membres des équipes d'administration sauf en période de crise.