OSSEC как SIEM

Хотя у меня есть некоторые мысли по этому поводу, которые я напечатаю позже, вы также можно рассмотреть возможность размещения в списке рассылки OSSEC здесь или, возможно, путем переноса этого вопроса на сайт IT Security SE, здесь .

Несколько очень быстрых идей ....

1) Журналы с разных серверов направляются в разные папки / файлы {Таким образом, вы ограничиваете вашу корреляцию уровнем файла}

2) Соберите все журналы вместе и прикрепите к каждой строке журнала имя сервера. затем с помощью регулярного выражения вы отфильтровываете сервер и используете его как поле корреляции

Кроме того, какой у вас ежедневный трафик? Может быть, вы могли бы взглянуть на Splunk или Prelude ( https://www.prelude-ids.org/projects/prelude )