OSSEC最基本的功能就是日志分析。
OSSEC有两种工作模式,Local和Agent/Server。
下面分别介绍,在两种工作模式下,OSSEC的日志处理流程。
首先在Local模式下,OSSEC的日志处理流程如下:
在Local模式下,一般的日志处理流程可拆分为:
1.日志收集工作是由ossec-logcollector完成的。
2.日志分析工作是由ossec-analysised完成的。
3.告警工作是由ossec-maild完成的。
4.主动响应工作是由ossec-execd完成的。
其次,在Agent/Server模式下,OSSEC的日志处理流程如下:
有关Agent/Server模式的其他内容:
1. 压缩(Zlib)
2. 用BlowFish算法和预共享密钥(pre-shared key)加密。
3. 默认情况下是使用UDP的1514端口。
4. 多平台支持(Windows,Solaris,Linux,etc)。
如果朋友有兴趣了解更深入的日志分析部分。请关注我的下篇文章:OSSEC an open source HIDS --- Log Analysised ( 2 )
原文出处:《Log Analysis using OSSEC》 作者:Daniel B. Cid