OSSEC opniões de quem já usou ou usa

[LinuxKids]

Boa tarde galera, estou querendo implentar o OSSEC aqui no meu ambiente de serviço, só que gostaria da opnião de quem já usou, ele para poder compartilhar experiencia.
O meu cenario seria 2 firewalls, firewall principal e dmz, então gostaria de implementar ele no firewall principal que é por onde todo o meu trafego roda, e onde está centralizado o squid, então as minhas duvidas são, ele consome muito processamento, ele é bom, em relação a analise de logs, do tipo fora e dentro da minha rede, identifacação de Trojans, worm's, Brute force, gostaria de quem usa comenta-se a experiencia. ae para que eu e outras pessoal possam ficar mais a parte de sistema.

Agradeço a colaboração de todos.

[1c3m4n]

processamento = perto de 0%
memoria = alguns miseros kb

qto a analise de logs tudo depende das regras que vc cria, eles vem com algumas regras default jah suficiente para a maioria das redes.
ele tb trabalha no metodo cliente - servidor, onde os clientes enviam para o servidor analisar os logs, entao vc pode colocar em todas as suas máquinas.

resumindo... totalmente compensatorio.

[LinuxKids]

quer dizer então Iceman posso ter ele instalado em varios servidores como cliente e deixa 1 servidor com modo servidor para ele anailisar os logs e me enviar relatório sobre os analises.

[1c3m4n]

mais ou menos, vc pode ter a estrutura de 1 server analisando log de todo mundo sim, mas relatorio ele nao faz sozinho, vc precisa fazer, pra isso tem um beta da ossec-wui, interface web pra analise
automatico ele faz bloqueios e envio de alertas via email de acordo com o lvl de criticidade do log

[LinuxKids]

mas no caso não to muito affim, da interface web e sim, dos avisos de tentativa de Intrusion, que ele manda via e-mail, entende, para isso é só instalar ele padrão mesmo.