Source

ossec-hids / doc / pl / logs.txt

Full commit
OSSEC HIDS 0.5
Copyright (c) 2004,2005 Daniel B. Cid   <daniel.cid@gmail.com>
                                        <dcid@ossec.net>


Logi OSSEC Hids


== Wprowadzenie ==

System wspiera dwa typy logowania. Logowanie alarmów i zdarzeń lub
logowanie z archiwizacją.

Każda otrzymana wiadomość jest traktowana jako zdarzenie.
Raporty integralności systemu, informacje systemowe lub zwykłe
wiadomości logów są traktowane jako zdarzenia. Logowanie zdarzeń bardzo
obciąża system, ponieważ archiwizuje każde zdarzenie. Mimo to, jest
przydatne, ponieważ może dać nam dokładny obraz wydarzeń po włamaniu.

Logowanie alarmów jest najbardziej użyteczne. Alarm jest generowany
kiedy zdarzenie zostaje dopasowane do jednej z reguł wykrywania. Poza
logowaniem OSSEC hids posiada powiadomnienie poprzez e-mail oraz
zewnętrzne wykonywanie komend jako metodę alarmu.


== Logowanie zdarzeń ==

W domyślnym katalogu logów OSSEC (/var/ossec/logs) jeden jest
przezaczony na archiwa (/var/ossec/logs/archives). W tym
katalogu wszystkie zdarzenia są przechowywane według daty.
Np. wszystkie zdarzenia otrzymane 22.05.2005, będą przechowywane w:

/var/ossec/logs/archives/2004/May/events-22.log

Na koniec każdego dnia, jest tworzony hash i przechowywany w:

/var/ossec/logs/archives/2004/May/events-22.log.md5

Jest to hash z pliku z dnia 22 plus hash z dnia 21.

Hash z dnia pierwszego, jest hashem z dnia 31 (30 lub 28) poprzedniego
miesiąca.

Hash jest tworzony aby mieć pewność, że logi nie były modyfikowane.
Dodatkowo zabezpiecza wszystkie poprzednie logi począwszy od pierwszego.

== Logowanie alarmów ==

W domyślnym katalogu logów OSSEC jest katalogo alarmów
(/var/ossec/logs/alerts). Zorganizowany w taki sam sposób jak
katalog zdarzeń. Przeczytaj powyżej aby zrozumieć.