OSSEC เป็น HIDS (Host Based Intrusion Detection System) เอาไว้คอยดูเหตุการณ์ต่างๆ ในเครื่องเซิร์ฟเวอร์, ตรวจสอบการเปลี่ยนแปลงไฟล์, ตรวจสอบ rootkit, แจ้งเตือน และทำ active response กับเหตุการณ์ต่างๆ ที่เกิดขึ้น

มาลองเล่นกัน OSSEC จะประกอบด้วย 2 ส่วนคือ OSSEC server และ OSSEC agent ตัว server จะทำหน้าที่ประมวลผลและทำ corelation, alert ฯลฯ ส่วน agent จะทำหน้าที่ส่งข้อมูลมาให้ server หากต้องการ monitor เครื่องใดๆ ก็เอา agent ไปติดตั้งไว้ครับ ง่ายๆ แค่นี้ มาลงมือกัน


Continue reading