OSSEC an open source HIDS --- Log Analysised ( 1 )

      OSSEC最基本的功能就是日志分析。

    

      OSSEC有两种工作模式，Local和Agent/Server。

 

      下面分别介绍，在两种工作模式下，OSSEC的日志处理流程。

 

      首先在Local模式下，OSSEC的日志处理流程如下:

 

     

 

      

       在Local模式下，一般的日志处理流程可拆分为：

             1.日志收集工作是由ossec-logcollector完成的。

             2.日志分析工作是由ossec-analysised完成的。

             3.告警工作是由ossec-maild完成的。

             4.主动响应工作是由ossec-execd完成的。

 

 

       其次，在Agent/Server模式下，OSSEC的日志处理流程如下:

 

       

 

 

       有关Agent/Server模式的其他内容：

            1. 压缩（Zlib）

            2. 用BlowFish算法和预共享密钥（pre-shared key）加密。

            3. 默认情况下是使用UDP的1514端口。

            4. 多平台支持（Windows,Solaris,Linux,etc）。

 

        如果朋友有兴趣了解更深入的日志分析部分。请关注我的下篇文章：OSSEC an open source HIDS --- Log Analysised ( 2 )

 

 

 

        原文出处：《Log Analysis using OSSEC》 作者：Daniel B. Cid