OSSEC是一款開源的多平臺的入侵檢測系統，可以運行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統中。包括了日志分析，全面檢測，root-kit檢測。

在unix，linux或者bsd上安裝ossec hids，默認安裝路徑是/var/ossec，在啟動過程中ossec hids會將目錄chroot，并且配置文件和規則也從該目錄讀取，下邊科普下，ossec下目錄結構及各個模塊都有啥用：

#核心配置文件：

ossec.conf #ossec hids主要配置文件

internal_options.conf： #額外配置選項文件

decoders.xml： #文件解碼器，各種規則都在這里寫來調用

client.keys： #用于客戶端與服務器認證通信

/var/ossec/bin #目錄包含ossec hids使用的二進制文件。

/var/ossec/etc #目錄包含所有ossec hids使用的配置文件

#日志文件：

/var/ossec/logs： #包含有關ossec hids所有的日志目錄

ossec.log： #包含osse hids所有日志(error,warn,info和其他)

alerts/alerts.log #ossec hids報警日志

active-responses.log #ossec hids響應日志

#隊列：

/var/ossec/queue #目錄包含ossec hids隊列文件

agent-info #目錄包含操作系統版本、ossec hids版本等信息

syscheck #目錄包含每個agent的數據校驗日志

rootcheck #目錄包含每個agent，rootkit檢查數據和監控規則。

rids #目錄包含agent ids信息

#規則

/var/log/rules #目錄包含所有osse hids規則

/var/log/stats #目錄包含每秒統計數據等文件

了解ossec hids配置文件： 我們將開始了解如何在unix，linux和bsd上本地/服務器進行配置。ossec hids主要配置文件名叫ossec.conf，該文件使用xml表記語言編寫，ossec hids配置文件選擇位于中，該配置文件包含如下段落：

配置報警級別及收集所有日志： 每個報警都有一個嚴重級別報警等級，ossec的等級是這樣分配的，0到15，15是最高等級，0是最低等級，默認情況下每個警報是從1到15，在ossec hids配置文件選項中報警級別7以上的都會發送郵件報警，如果修改ossec.conf中的報警配置選項，可以修改如下配置：

上邊的配置文件，只記錄2以上的報警級別日志，并且報警級別高于8以上的報警都會發送郵件。

收集日志：

除了記錄每一條報警和每一個事件記錄外你可以配置ossec hids接收所有日志，配置文件如下：

配置郵件：

默認情況下，在安裝ossec hids server的時候會提示你配置郵件發信，但這個發信里默認只寫入一條收件人，假如我有多個收件人是不是沒辦法了呢?答案當然不是，ossec hids里可以這樣配置多個收件人，這里以gmail為例子：

默認的配置文件是這樣，如添加其他人可以這樣，lost@gmail.com即可添加lost這個用戶加入收件人列表。如果不需要配置文件怎么辦呢?ossec  hids也可以關閉掉郵件選項，設置配置如下：

也可以讓某個郵箱只接受特定級別的郵件，配置文件可以這樣寫：

安全選項配置：

眾所周知，ossec收集日志的服務也是采用syslog，只不過它會開啟個1514的udp端口來接收數據，這其實和514端口并無差別不是嗎，但為了安全考慮，需要允許指定的機器來連接我們的syslog服務，配置文件可以這樣寫：

上邊的意思就是允許這個網段來連接syslog服務接收數據。 監控文件變化： ossec還可以做為文件監控來監視網站目錄下的變動情況，ossec檢測文件的時候分為幾個部分：check_all、check_sum、check_size、check_onwer、check_group、check_perm，如果是檢測網站變動的話，可以在ossec.conf里寫入如下配置：

上邊的配置是檢查網站的任何變動，包括文件大小發生變化，權限變化等。