OSSEC an open source HIDS --- Log Analysised ( 1 )

      OSSEC最基本的功能就是日志分析。

    

      OSSEC有两种工作模式,Local和Agent/Server。

 

      下面分别介绍,在两种工作模式下,OSSEC的日志处理流程。

 

      首先在Local模式下,OSSEC的日志处理流程如下:

 

     

 

      

       在Local模式下,一般的日志处理流程可拆分为:

             1.日志收集工作是由ossec-logcollector完成的。

             2.日志分析工作是由ossec-analysised完成的。

             3.告警工作是由ossec-maild完成的。

             4.主动响应工作是由ossec-execd完成的。

 

 

       其次,在Agent/Server模式下,OSSEC的日志处理流程如下:

 

       

 

 

       有关Agent/Server模式的其他内容:

            1. 压缩(Zlib)

            2. 用BlowFish算法和预共享密钥(pre-shared key)加密。

            3. 默认情况下是使用UDP的1514端口。

            4. 多平台支持(Windows,Solaris,Linux,etc)。

 

        如果朋友有兴趣了解更深入的日志分析部分。请关注我的下篇文章:OSSEC an open source HIDS --- Log Analysised ( 2 )

 

 

 

        原文出处:《Log Analysis using OSSEC》 作者:Daniel B. Cid

 

 

 

 

 

你可能感兴趣的:(windows,linux,工作,算法,Solaris)