另外，ossec提供了一个web 界面，它会自动实时刷新显示最新的日志，显示主机状态，
而且方便查询过往的信息。我们在服务端安装它，步骤如下：

wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
tar xzvf ossec-wui-0.3.tar.gz
cd ossec-wui-0.3
cat README  

解压之后的 README 会告诉你如何安装这个，其实它就是一些 php 文件，你需要搭建个
webserver 来运行 php 就可以了。我们直接 yum 或 apt 安装 apache 和 php 就好了，安装它
们不是我们的重点。
将ossec-wui目录的文件移到apache的目录，我这里是/var/www/html目录，然后我们编
辑/etc/group，将ossec:x:500:改为ossec:x:500:apache，注意我们这里的apache是以
apache用户运行，所以才这样写，可能你的机器上是www用户，或者nobody用户。改完之后，
重启一下apache，然后再去用浏览器访问http://192.168.14.207/ossec，看是否正常。注
意，如果出现有Unable to access ossec directory，基本上与权限、机器开了SELinux设
置有关，设置一下就好(注意修改SELINUX需要重启生效)
chown ossec:ossec -r /var/www/html/ossec
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
ossec的web 。

可以看到有显示当前有哪些agent 机器，以及最近发生的事件。由于是刚搭好的环境，所以
右边的Lastest modified files这里是空的，因为完整性检测不是实时的，有一定频率
的，等有了检测到变化，这里会显示有哪些文件发生变化。我们主要关注的是 events，其
中有 level表明等级，用来表明事件的重要程度，比如一条普通的事件和一条敏感的事件其
level肯定不同，而ossec也是根据 level来判断是否发邮件报警的。还有一些其它的功能，
比如查询、文件/注册表完整性检查等都可以利用。
 
测试入侵检测系统
 
入侵检测系统到这里就搭好了，我们来简单测试一下效果，看是否能实时显示或报警。
Linux 系统远程 SSH 登录失败
我们模拟黑客利用 ssh 远程登录我们的 192.168.14.167 这台装有 ossec 的机器，用户
root，密码不断尝试，也会被我们的IDS抓到，如下：

当然，这里的sshd需要进行安全加固，比如禁止root 直接登录、允许几次尝试失败就断开
等设置，就不多说了，这里只做演示。
Windows 远程桌面登录失败
同样的，我们模拟黑客企图用远程桌面连接 192.168.14.162 这台机器，在试弱密码，
会被我们的IDS发现，在web 界面上会有如下信息：

Linux 添加删除用户测试
我们尝试在 linux 上建一个用户 toor，然后设置个密码，然后将这个用户删除。同样
的，在 IDS上也会出现一些信息，

当然，我们也可以进行其它测试，比如安装后门、rootkit 等，我们会发现 hids 也会有一
些动作，比如发现文件变化、可疑端口与文件等。
Windows 添加删除修改用户
我们尝试在windows上加个用户hacker，ossec的web界面上马上就出现了如下信息：

而我们给这个hacker用户修改密码、删除这个用户、修改本地安全策略、安装卸载软件等，
均会在 IDS上有相应的事件信息展示，就不一列列举了。
 
方案小结与改进
 
这套基于主机的入侵检测系统基本上就搭建起来了，但这套方案存在些许缺点，以下为
个人的小结：
1.  客户端安装每次都要在服务端生成个KEY，然后再客户端导入KEY，大批量机器部署工
作量会比较大，即不方便批量部署；
2.  ossec内置了许多默认策略，但默认策略在真实环境下跑的话，会收到许多报警邮件，