OSSEC由很多部分组成,它有一个集中的管理端,用于监控、并接收来自代理、syslog、数据库或无代理设备的日志。
管理端(服务器)
管理端属于OSSEC部署中的中心部分。它存储了文件完整性检测数据库,日志、事件、系统审计数据。所有的规则、解码器、主要配置项被集中存储在管理端,从而使管理大量代理变得很容易。
提示
管理端可以叫做OSSEC服务器,或者在本文档中直接称为服务器。
代理
代理是一个小程序,或者是一些小程序的集合,安装在被监控的操作系统上。代理收集信息并将信息转发至管理端,用以关联分析使用。一些信息是实时收集的,还有一些事周期性收集的。它仅占用少量的内存和CPU,不会影响到系统的正常使用。
OSSEC仅提供微软Windows平台的代理,而管理端需要安装在Linux或类Unix系统上。
哑代理
对于一些无法安装代理的系统,哑代理可以提供完整性检测功能。哑代理可用于监控防火墙、路由、或者Unix系统
虚拟化/VMware
OSSEC可以安装在虚拟机上,也可安装在VMWare ESX的某些版本。但是可能存在一些技术支持问题。如果在VMware ESX上安装,OSSEC可以提供VM虚拟机安装、移除、启动等场景的告警。同时,他还可监控ESX服务器的登入、登出行为以及一些错误告警。此外,OSSEC还可以作为VMWare的内网安全中心(CIS-Center for internet Security),一些不安全的配置均可产生告警事件。
防火墙、交换机、路由器
OSSEC可以接收并分析防火墙、交换机、路由器的syslog事件。目前,它可以支持Cisco PIX、Cisco FWSM、Cisco ASA、Juniper路由、Netscreen 防火墙等设备。
架构
下图展示了中心管理端接收远端设备代理的日志和系统日志的结构。如果检测到安全事件,将启动主动防御响应并告知管理员。
