监控文件/目录 修改ossec.conf配置文件，加入以下内容：
      /opt/web      #检测目录
      /var/web/upload                                 #忽略upload目录检测
      /var/web/config .conf                         #忽略config.conf文件检测
监控web日志 修改ossec.conf配置文件，加入以下内容：
  apache                  #日志格式
  /var/log/nginx/error .log    #web日志路径
入侵检测 修改ossec.conf配置文件标签定义的规则文件，达到入侵检测的目的。
比如某种后门会在/tmp目录下生成mcrootkit文件，在/var/ossec/etc/shared/rootkit_files.txt文件中添加如下内容：
tmp/mcrootkit   ! bash door ::/rootkits/bashdoor.php
邮件通知信息
ossec hids notification. 2015 jul 07 18:19:14 received from: (web-10-10-51-51) 10.10.51.51->rootcheck rule: 510 fired (level 7) ->  host-based anomaly detection event (rootcheck).
portion of the log(s): rootkit  'bash' detected by the presence of  file '/tmp/secrootkit' .        
--end of notification
自动响应 添加ddos_rules.xml文件到ossec.conf配置文件中
ddos_rules.xml
建立防cc攻击规则 # cat /var/ossec/rules/ddos_rules.xml
#定义rule id
   31108                      #判断rule id 31108
   ^/*.php                          #匹配url地址中包含任何php文件
   cc attacks url   #描述
31177
cc attacks
   ddos
说明：
60秒内同一ip访问php文件超过10次，触发脚本
匹配urle id 为31108的日志中url包含任何php文件
关于rule id 31108 规则详细定义，请查看web_rules.xml文件。
31100
  ^2|^3
  is_simple_http_request
  ignored urls (simple queries).
说明：rule id 31108是匹配web日志2x,3x访问代码。有效过滤了404，403等错误页面
配置自动响应 在ossec.conf配置文件中，添加如下内容：
firewall-drop                 #命令名称
firewall-drop.sh      #执行脚本
srcip                         #脚本参数，客户端ip
   yes      #允许超时
firewall-drop          #自动响应命令名称，上面定义
   local                 #脚本执行位置，local表示agent端
   31178                #触发rule id
   600                    #超时时间
自定义规则 在日志中过滤字符串，比如日志中出现admin_backdoor，触发报警
添加test_rules.xml文件到ossec.conf配置文件中
test_rules.xml
创建过滤规则 #vi /var/ossec/rules/test_rules.xml
admin_backdoor               #decode名称
   admin_backdoor access
配置decoder.xml文件 # cat /var/ossec/etc/decoder.xml
                           #decoder名称，与test_rules.xml名称匹配
      ^admin_backdoor             #匹配字符串admin_backdoor
报警信息:
[root@ossec-server-10-10-51-50 /var/ossec]# ./bin/ossec-logtest
2015 /07/07 19:48:20 ossec-testrule: info: reading  local decoder  file .
2015 /07/07 19:48:20 ossec-testrule: info: started (pid: 16189).
ossec-testrule: type one log per line.  
admin_backdoor                          #输入字符串
**phase 1: completed pre-decoding.      full event:  'admin_backdoor'
     hostname :  'ossec-server-10-10-51-50'
     program_name:  '(null)'
     log:  'admin_backdoor'
**phase 2: completed decoding.      decoder:  'admin_backdoor'
**phase 3: completed filtering (rules).      rule  id :  '7777' #匹配到rule id 8888
     level:  '7'
     description:  'admin_backdoor access' #描述，上面定义好的
**alert to be generated.