最近在工作中发现SOC平台内有大量Agent注册到Wazuh时显示IP地址为any,无法准确获取到agent端点上的地址。
因该客户主机中大量存在双网卡、多网卡的情况;且客户agent无法直连server,通过 log collector中转,导致刚开始排查的方向错误,无法得到结果。
最终通过在客户机器上查询配置,发现有如下问题点:
- 某双网卡机器,两张网卡均没有配置默认网关,注册后ip地址显示any
- 另外一台双网卡机器,其中一张网卡配置了默认网关,注册后ip地址显示为配置默认网关的那张网卡的ip
- 某单网卡机器,未配置默认网关,注册后ip地址显示any
所以猜测,wazuh agent上报的ip地址与网卡是否配置了网关有关,而不是连接server/log colletctor的时候的client ip。
通过本地部署一个测试环境进行复现。可以发现,即使在同子网的情况下,不配置默认网关,平台上显示的agent ip仍然为any:
当给网卡配置上默认网关后,server端上获取到了正确的agen端ip:
最终问题解决。
发表回复