OSSEC之所以產生報警，就是由于抓到了信息后由DECODE對信息進行解碼，然后匹配規(guī)則（rule）進行相關告警產生ALERTID。

會編寫DECODE會對使用OSSEC有很大的幫助。 這里會要用到OSSEC的一個測試命令ossec-logtest.

這里編寫一個簡單的規(guī)則，遇到lion_00的時候，會產生一條ALERTID 為8888 嚴重度級別為7的報警信息。

首先是創(chuàng)建一個規(guī)則,在/var/ossec/rule 下創(chuàng)建一個testrule.xml 內容為：

//每一組rule 都要有group

lion //使用一個叫l(wèi)ion的decode

testrule //產生的告警信息

需要編寫DECODE，在/var/ossec/etc/decoder.xml (默認安裝目錄)

//這里是不規(guī)范注釋，decoder 名稱 上面提到的lion

^lion_00 // 匹配的內容 如果是高級的DECODER 還會有很多參數

需要說明的是，最好將自己的decode 放到文件稍微靠上的位置。

這個時候，使用 /var/ossec/bin/ossec-logtest 輸入lion_00 會看到

**Phase 1: Completed pre-decoding.

full event: ‘lion_00′

hostname: ‘IDC2103′

program_name: ‘(null)’

log: ‘lion_00′

**Phase 2: Completed decoding.

decoder: ‘lion’

**Phase 3: Completed filtering (rules).

Rule id: ’8888′

Level: ’7′

Description: ‘testrule’

**Alert to be generated.