OSSEC客戶端首先要跟服務端建立連接。
OSSEC客戶端的配置文件裏面要添加
<localfile>
<location>C:\Snort\log\alertfull.ids</location>
<log_format>snort-full</log_format>
</localfile>
其中,alertfull.ids是Snort產生的日誌文件,好像必須爲full模式的日誌,fast模式實驗沒推送成功,同時,日誌文件名不能有下劃線 '_' ,不然也不能推送。
snort-full是日誌文件的格式。