Explicaremos la instalacion del servidor y el cliente (agente) OSSEC para entornos GNU/Linux:

Instalacion de OSSEC:
Descargamos el codigo fuente http://www.ossec.net/files/ossec-hids-2.0.tar.gz
Lo descomprimimos y entramos en el directorio:

# tar zvxf ossec-hids-2.0.tar.gz
# cd ossec-hids-2.0
# ./install.sh

Le indicamos el idioma y el tipo de instalacion (local, servidor, agente). Le indicamos la ubicacion de la instalacion y a que direccion de correo electronico deberan enviarse las alertas. Le indicamos si queremos instalar la comprobacion de integridad del sistema y la deteccion de rootkits, asi como la respuesta activa automatica ante problemas, el modo de rechazar las conexiones (bloqueando usuarixs en hosts.deny o en iptables), y la habilitacion de syslog remoto (en el puerto 514 UDP).
Por defecto si lo instalamos como servidor se configura el analisis de los siguientes registros:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log
/var/log/apache2/error.log
/var/log/apache2/access.log

Si lo instalamos en modo cliente (agente) analizara:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log

Para añadir algun otro registro se deben añadir al archivo /var/ossec/etc/ossec.conf como entradas del tipo localfile.

Para añadir agentes al servidor:

# /var/ossec/bin/manage_agents

Primero añadimos el nuevo agente, introduciendo el nombre, IP e ID, y seguidamente extraemos la clave que se genero en el agente, con la opcion e y respondiendo a la ID del cliente.
Ahora debemos importar la clave del servidor desde el cliente. Para ello ejecutamos manage_agents en la maquina cliente:

# /var/ossec/bin/manage_agents

Una vez terminada la instalacion, solamente nos queda iniciar OSSEC HIDS, primero en el servidor y despues en los clientes:

/var/ossec/bin/ossec-control start

Al iniciarlo (si lo hemos instalado como servidor) se inician los siguientes demonios:

ossec-maild
ossec-execd
ossec-analysisd
ossec-logcollector
ossec-remoted
ossec-syscheckd
ossec-monitord

Y en modo cliente:

ossec-execd
ossec-agentd
ossec-logcollector
ossec-syscheckd

Para detenerlo:

/var/ossec/bin/ossec-control stop

Ahora probamos que funciona correctamente, provocando una alerta, que por defecto ira a parar a /var/ossec/logs/alerts/, donde automaticamente se organizan por año, mes y un log cada dia.