OSSEC文档——OSSEC架构

翻译：http://ossec-docs.readthedocs.io/en/latest/manual/ossec-architecture.html
OSSEC架构
OSSEC是由多个部分组成的。它有一个中央管理器，用于监视和接收来自代理、syslog、数据库和无代理设备的信息。


管理节点(或服务器)


管理节点是OSSEC部署的中心部分。它存储文件完整性检查数据库、日志、事件和系统审计条目。所有的规则、解码器和主要配置选项都集中在管理节点中;即使管理大量的代理也很容易。


备注：
管理器可以被称为OSSEC server，甚至在文档中也可以称为server。


代理
代理是一个小型程序，或者是安装在监视系统上的程序集。代理将收集信息并将其转发给OSSEC server进行分析和相关。有些信息是实时收集的，有些是定期收集的。默认情况下，它的内存和CPU占用空间非常小，不会影响系统的使用。


代理安全性:它通过低权限用户(通常在安装期间创建)
在系统隔离的chroot域中运行。大多数代理配置都可以从OSSEC server中进行。


备注：


OSSEC只支持微软Windows平台上的代理。这些系统将需要一个OSSEC服务器，运行在Linux或另一个类unix系统上。


无代理


对于不能安装代理的系统，无代理支持可能允许执行完整性检查。无代理扫描可用于监视防火墙、路由器甚至Unix系统。


虚拟化/ VMware

OSSEC允许您在客户操作系统上安装代理。它也可能安装在VMWare ESX的某些版本中，但这可能会导致支持问题。在VMware ESX中安装了代理，你可以在安装、删除、启动等等的时候收到警报，还可以监控ESX服务器上的登录、注销和错误。除此之外，OSSEC还为VMware的网络安全（CIS）进行检查，提醒用户是否启用了不安全的配置选项或其他问题。


防火墙、交换机和路由器


OSSEC可以从各种防火墙、交换机和路由器接收和分析syslog事件。它支持所有的思科路由器、思科、思科FWSM、思科ASA、瞻博路由器、Netscreen防火墙等。


体系结构


这个图显示了OSSEC server接收来自远程设备的代理和系统日志的事件。当检测到某些东西时，可以执行主动响应，并通知管理员。

内部架构
有关其工作原理的技术和详细信息，请阅读以下文件
OSSEC log analysis/inspection architecture (PDF) - Daniel Cid 著