Crowdsec Centralizzato
Il runtime di CrowdSec ruota attorno ad alcuni semplici concetti:
vengono letti i log (file system, journald, docker, ecc); i log vengono analizzati tramite parser; i log normalizzati vengono confrontati con gli scenari; quando uno scenario viene “attivato”, CrowdSec genera un avviso ed eventualmente una o più decisioni: l’avviso viene tracciato e rimarrà anche dopo la scadenza della decisione; la decisione d’altra parte, è di breve durata e indica quale azione dovrebbe essere intrapresa contro l’ip offensivo.