Chức năng các file:
• Monit: Dịch vụ kiểm tra trạng thái file bằng kiểm tra checksum, theo dõi hoạt động của các dịch vụ, đưa ra cảnh báo, stop/start dịch vụ nếu dịch vụ sử dụng tài nguyên quá mức cho phép hoặc một dịch vụ nào đó đột nhiên stop vì một lí do nào đó.
• mySQL: Dùng để quản trị cơ sở dữ liệu của hệ thống, lưu trữ, phân loại các dữ liệu, sự kiện…của hệ thống.
• Apache (WebServer): Là 1chương trình máy chủ HTTP hay nói cách khác nó là 1 chương trình đối dành cho máy chủ đối thoại qua giao thức HTTP. Có chức năng thu thập các thơng tin trên mạng và phân phối nó cho những chương trình xử lí trong máy tính rồi hồi âm kết quả cho việc xử lí và trả lại nơi xuất xứ của thơng điệp.
• Ossim-Agent: Tập hợp các phần mềm hay các công cụ giám sát, theo dõi, phát hiện, thu thập như: Snort, TcpTrack, P0f, Pads, RRD, Ntop, Arpwatch, Nessus, NmapSyslog (local)…
• Ossim-Server: Chuẩn hóa, thu thập, ưu tiên hóa, đánh giá rủi ro và thiết lập mối tương quan các bộ máy bên trong. Các cơng việc duy trì hoạt động như sao luw, lập lịch sao lưu hoặc tiến hành quét lỗ hổng tồn bộ hệ thống.
• Ossim-Frmework: Quản lí các thành phần cảu ossim và kết nối chúng lại với nhau. • Orris: Lọc các sự kiện, thông tin, cảnh báo hoặc các thư mục log bất thương, hỗ trợ
giám sát, báo cáo trên inode.
Phần đầu vào của một SIEM là những bản ghi (log) được lấy từ các thiết bị nguồn, sau đó xử lý chúng và trong lưu trữ trong cơ sở dữ liệu của SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trên mạng, chẳng hạn như một bộ định tuyến, Switch, hoặc một số loại máy chủ, nhưng nó cũng có thể là các bản ghi từ một ứng dụng hoặc chỉ là về bất kỳ dữ liệu khác mà chúng ta có thể có được. Vì đầu vào là giai đoạn đầu tiên của hệ thống SIEM, nếu có thể xác định đúng ngay từ đầu các thiết vị nguồn, nó sẽ làm cho việc triển khai, xây dựng các module hệ thống sau đó trở nên dễ dàng hơn.
Mơ hình hoạt động thiết bị: