OSSEC客户端首先要跟服务端建立连接。
OSSEC客户端的配置文件里面要添加
<localfile>
<location>C:\Snort\log\alertfull.ids</location>
<log_format>snort-full</log_format>
</localfile>
其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。
snort-full是日志文件的格式。