doc/br/logs.txt

   1 OSSEC HIDS 0.5
   2 Copyright (c) 2004,2005 Daniel B. Cid   <daniel.cid@gmail.com>
   3                                         <dcid@ossec.net>
   4
   5
   6
   7 OSSEC Hids Logging
   8
   9 == Introdução ==
  10
  11 O sistema suporta dois tipos de logs. Logs de alertas e eventos
  12 ou arquivos de logs.
  13
  14 Todas as mensagens recebidas são tratadas como um envento. Todas as
  15 mensagens de log, avisos de integridade, informações de sistema são
  16 tratadas como tal. Fazer log de é muito pesado para o sistema pois
  17 o sistema tem de arquivar cada evendo. Entretanto, é muito bom para
  18 se ter uma visão geral de tentativas de ataque.
  19
  20 Criar logs de alertas é muito importante. Pode ser gerado quando um evento
  21 vai de encontro com uma regra de detecção. Adicionalmente o OSSEC hids
  22 suporta envio de em-ails e execução de comandos esternos como método de alerta.
  23
  24 == Criando logs de eventos ==
  25
  26 O diretório de logs do OSSEC  (by default /var/ossec/logs)
  27 possúi entrada para arquivos (/var/ossec/logs/archives). Dentro deste diretório,
  28 todos os enventos são classificados por data.
  29 Por exemplo, todos os eventos recebidos em 22 de maio de 2004, serão guardados em:
  30
  31 /var/ossec/logs/archives/2004/May/events-22.log
  32
  33 Após cada dia, uma combinação será criada para cada dia específico.
  34
  35 /var/ossec/logs/archives/2004/May/events-22.log.md5
  36
  37 Este será uma combinação do arquivo do dia 22 com o do dia 21.
  38
  39 A combinação do dia 1, será feita com o dia 31(ou 30 ou 28) do mes anterior.
  40
  41 Isto assegurará que o log não seja modificado. Para que isto aconteça,
  42 todos os logs (desde o primeiro dia) deverão ser modificados.
  43
  44
  45 == Criando logs de alerta ==
  46
  47 Haverá um diretório de alerta dentro do diretório default do OSSEC.
  48 Este será organizado da mesma forma que os logs de envetos. Por facor leia
  49 a explicação acima.
  50
  51