doc/pl/logs.txt

   1 OSSEC HIDS 0.5
   2 Copyright (c) 2004,2005 Daniel B. Cid   <daniel.cid@gmail.com>
   3                                         <dcid@ossec.net>
   4
   5
   6 Logi OSSEC Hids
   7
   8
   9 == Wprowadzenie ==
  10
  11 System wspiera dwa typy logowania. Logowanie alarmów i zdarzeń lub
  12 logowanie z archiwizacją.
  13
  14 Każda otrzymana wiadomość jest traktowana jako zdarzenie.
  15 Raporty integralności systemu, informacje systemowe lub zwykłe
  16 wiadomości logów są traktowane jako zdarzenia. Logowanie zdarzeń bardzo
  17 obciąża system, ponieważ archiwizuje każde zdarzenie. Mimo to, jest
  18 przydatne, ponieważ może dać nam dokładny obraz wydarzeń po włamaniu.
  19
  20 Logowanie alarmów jest najbardziej użyteczne. Alarm jest generowany
  21 kiedy zdarzenie zostaje dopasowane do jednej z reguł wykrywania. Poza
  22 logowaniem OSSEC hids posiada powiadomnienie poprzez e-mail oraz
  23 zewnętrzne wykonywanie komend jako metodę alarmu.
  24
  25
  26 == Logowanie zdarzeń ==
  27
  28 W domyślnym katalogu logów OSSEC (/var/ossec/logs) jeden jest
  29 przezaczony na archiwa (/var/ossec/logs/archives). W tym
  30 katalogu wszystkie zdarzenia są przechowywane według daty.
  31 Np. wszystkie zdarzenia otrzymane 22.05.2005, będą przechowywane w:
  32
  33 /var/ossec/logs/archives/2004/May/events-22.log
  34
  35 Na koniec każdego dnia, jest tworzony hash i przechowywany w:
  36
  37 /var/ossec/logs/archives/2004/May/events-22.log.md5
  38
  39 Jest to hash z pliku z dnia 22 plus hash z dnia 21.
  40
  41 Hash z dnia pierwszego, jest hashem z dnia 31 (30 lub 28) poprzedniego
  42 miesiąca.
  43
  44 Hash jest tworzony aby mieć pewność, że logi nie były modyfikowane.
  45 Dodatkowo zabezpiecza wszystkie poprzednie logi począwszy od pierwszego.
  46
  47 == Logowanie alarmów ==
  48
  49 W domyślnym katalogu logów OSSEC jest katalogo alarmów
  50 (/var/ossec/logs/alerts). Zorganizowany w taki sam sposób jak
  51 katalog zdarzeń. Przeczytaj powyżej aby zrozumieć.
  52