OSSEC как SIEM

Я работаю над проектом агрегации журналов и хотел бы добавить некоторые мелкие корреляции / аналитику безопасности в смесь.

В настоящее время у меня есть журналы с ~400 серверов, входящих в окно syslog-ng. Я искал несколько программ, таких как SEC (Simple Event Correlator), OSSEC и т. Д., Чтобы сделать это. Для SEC, я мог бы легко привязать процесс к файлу (файлам), в который я пишу, и отключить его.

Однако мне пришлось бы встроить много пользовательских правил, и не было бы красивого графического интерфейса, как в OSSEC.

Поэтому я подумывал об использовании OSSEC в качестве локальной установки и вместо того, чтобы он обрабатывал все агенты, просто включил в него файл (ы) журнала и предупреждения о отключении.

Мой главный страх состоит в том, что, поскольку я не использую часть агента OSSEC, похоже, что единственным агентом является localhost, и поэтому он собирается объединить большую часть трафика, который мы видим, в одно большое предупреждение. Если я получаю сбои входа в систему от server1 и server2, он будет обрабатывать это как один и тот же источник и сопоставлять его намного быстрее, чем если бы он рассматривал их как отдельные серверы.

Есть ли какая-то логика, которую я могу вставить в OSSEC, чтобы заставить эту локальную / неагентскую конфигурацию работать с несколькими входящими журналами сервера, или вы бы порекомендовали даже попробовать?