Una tontería de esas que te hacen perder media mañana. Hace unos días modificamos una regla para evitar que nos mandara correo con una alarma que no lo era. Como estaba a otras cosas, metí la regla, pero no reinicie el servicio…
Así que, dos días después por otros temas reinicio la maquina y, de repente el ossec no arranca…
Los errores:
ossec-syscheckd(1210): ERROR: Queue ‘/var/ossec/queue/ossec/queue’ not accessible: ‘Connection refused’.
ossec-rootcheck(1210): ERROR: Queue ‘/var/ossec/queue/ossec/queue’ not accessible: ‘Connection refused’.
ossec-logcollector(1210): ERROR: Queue ‘/var/ossec/queue/ossec/queue’ not accessible: ‘Connection refused’.
ossec-logcollector(1211): ERROR: Unable to access queue: ‘/var/ossec/queue/ossec/queue’. Giving up..
ossec-syscheckd(1210): ERROR: Queue ‘/var/ossec/queue/ossec/queue’ not accessible: ‘Connection refused’.
ossec-rootcheck(1211): ERROR: Unable to access queue: ‘/var/ossec/queue/ossec/queue’. Giving up..
El error, esta documentado en la web de Ossec.
Xd, pero nada, probé a pararlo y a arrancarlo un par de veces y nada…un poco desesperado lo volví a instalar en otro sitio, arranca bien… le pongo el fichero de reglas de la otra instalación y mismo error ….
🙂
Asi que, el puto fichero (local_rules.xml) de configuración tenia una regla mal puesta (no mal puesta realmente, pero si con un carácter de mas al hacer copy paste…).
Ala, 2 horas perdidas por tonto!!!