OSSEC HIDS 0.5
Copyright (c) 2004,2005 Daniel B. Cid   <daniel.cid@gmail.com>
                                        <dcid@ossec.net>



OSSEC Hids Logging

== Introduo ==

O sistema suporta dois tipos de logs. Logs de alertas e eventos
ou arquivos de logs. 

Todas as mensagens recebidas so tratadas como um envento. Todas as 
mensagens de log, avisos de integridade, informaes de sistema so
tratadas como tal. Fazer log de  muito pesado para o sistema pois
o sistema tem de arquivar cada evendo. Entretanto,  muito bom para
se ter uma viso geral de tentativas de ataque.

Criar logs de alertas  muito importante. Pode ser gerado quando um evento
vai de encontro com uma regra de deteco. Adicionalmente o OSSEC hids
suporta envio de em-ails e execuo de comandos esternos como mtodo de alerta.

== Criando logs de eventos ==

O diretrio de logs do OSSEC  (by default /var/ossec/logs) 
possi entrada para arquivos (/var/ossec/logs/archives). Dentro deste diretrio,
todos os enventos so classificados por data.
Por exemplo, todos os eventos recebidos em 22 de maio de 2004, sero guardados em:

/var/ossec/logs/archives/2004/May/events-22.log

Aps cada dia, uma combinao ser criada para cada dia especfico.

/var/ossec/logs/archives/2004/May/events-22.log.md5

Este ser uma combinao do arquivo do dia 22 com o do dia 21.

A combinao do dia 1, ser feita com o dia 31(ou 30 ou 28) do mes anterior.

Isto assegurar que o log no seja modificado. Para que isto acontea, 
todos os logs (desde o primeiro dia) devero ser modificados.


== Criando logs de alerta ==

Haver um diretrio de alerta dentro do diretrio default do OSSEC.
Este ser organizado da mesma forma que os logs de envetos. Por facor leia
a explicao acima.


