OSSEC由很多部分组成，它有一个集中的管理端，用于监控、并接收来自代理、syslog、数据库或无代理设备的日志。

管理端（服务器）

管理端属于OSSEC部署中的中心部分。它存储了文件完整性检测数据库，日志、事件、系统审计数据。所有的规则、解码器、主要配置项被集中存储在管理端，从而使管理大量代理变得很容易。

提示

管理端可以叫做OSSEC服务器，或者在本文档中直接称为服务器。

代理

代理是一个小程序，或者是一些小程序的集合，安装在被监控的操作系统上。代理收集信息并将信息转发至管理端，用以关联分析使用。一些信息是实时收集的，还有一些事周期性收集的。它仅占用少量的内存和CPU，不会影响到系统的正常使用。

OSSEC仅提供微软Windows平台的代理，而管理端需要安装在Linux或类Unix系统上。

哑代理

对于一些无法安装代理的系统，哑代理可以提供完整性检测功能。哑代理可用于监控防火墙、路由、或者Unix系统

虚拟化/VMware

OSSEC可以安装在虚拟机上，也可安装在VMWare ESX的某些版本。但是可能存在一些技术支持问题。如果在VMware ESX上安装，OSSEC可以提供VM虚拟机安装、移除、启动等场景的告警。同时，他还可监控ESX服务器的登入、登出行为以及一些错误告警。此外，OSSEC还可以作为VMWare的内网安全中心（CIS-Center for internet Security），一些不安全的配置均可产生告警事件。

防火墙、交换机、路由器

OSSEC可以接收并分析防火墙、交换机、路由器的syslog事件。目前，它可以支持Cisco PIX、Cisco FWSM、Cisco ASA、Juniper路由、Netscreen 防火墙等设备。

架构

下图展示了中心管理端接收远端设备代理的日志和系统日志的结构。如果检测到安全事件，将启动主动防御响应并告知管理员。