OSSEC HIDS 0.5 Copyright (c) 2004,2005 Daniel B. Cid Logi OSSEC Hids == Wprowadzenie == System wspiera dwa typy logowania. Logowanie alarmów i zdarzeń lub logowanie z archiwizacją. Każda otrzymana wiadomość jest traktowana jako zdarzenie. Raporty integralności systemu, informacje systemowe lub zwykłe wiadomości logów są traktowane jako zdarzenia. Logowanie zdarzeń bardzo obciąża system, ponieważ archiwizuje każde zdarzenie. Mimo to, jest przydatne, ponieważ może dać nam dokładny obraz wydarzeń po włamaniu. Logowanie alarmów jest najbardziej użyteczne. Alarm jest generowany kiedy zdarzenie zostaje dopasowane do jednej z reguł wykrywania. Poza logowaniem OSSEC hids posiada powiadomnienie poprzez e-mail oraz zewnętrzne wykonywanie komend jako metodę alarmu. == Logowanie zdarzeń == W domyślnym katalogu logów OSSEC (/var/ossec/logs) jeden jest przezaczony na archiwa (/var/ossec/logs/archives). W tym katalogu wszystkie zdarzenia są przechowywane według daty. Np. wszystkie zdarzenia otrzymane 22.05.2005, będą przechowywane w: /var/ossec/logs/archives/2004/May/events-22.log Na koniec każdego dnia, jest tworzony hash i przechowywany w: /var/ossec/logs/archives/2004/May/events-22.log.md5 Jest to hash z pliku z dnia 22 plus hash z dnia 21. Hash z dnia pierwszego, jest hashem z dnia 31 (30 lub 28) poprzedniego miesiąca. Hash jest tworzony aby mieć pewność, że logi nie były modyfikowane. Dodatkowo zabezpiecza wszystkie poprzednie logi począwszy od pierwszego. == Logowanie alarmów == W domyślnym katalogu logów OSSEC jest katalogo alarmów (/var/ossec/logs/alerts). Zorganizowany w taki sam sposób jak katalog zdarzeń. Przeczytaj powyżej aby zrozumieć.