OSSEC编写DECODEOSSEC之所以产生报警，就是由于抓到了信息后由DECODE对信息进行解码，然后匹配规则（rule）进行相关告警产生ALERTID。会编写DECODE会对使用OSSEC 有很大的帮助。 OSSEC测试命令 ossec-logtest。这里编写一个简单的规则，遇到caoqing的时候，会产生一条ALERTID为8888严重度级别为7的报警信息。首先是创建一个规则,在/var/ossec/rule下创建一个testrule.xml内容为：
    
     
        
      
       caoqing
        
      
       testrule
      编写DECODE，在/var/ossec/etc/decoder.xml(默认安装目录)
      
         
       
        ^caoqing
       使用/var/ossec/bin/ossec-logtest进行测试# /data/ossec/bin/ossec-logtest 2014/03/19 16:28:06 ossec-testrule: INFO: Reading local decoder file.2014/03/19 16:28:06 ossec-testrule: INFO: Started (pid: 23621).ossec-testrule: Type one log per line.caoqing**Phase 1: Completed pre-decoding.       full event: 'caoqing'       hostname: 'kvmtest02'       program_name: '(null)'       log: 'caoqing'**Phase 2: Completed decoding.       decoder: 'caoqing'**Phase 3: Completed filtering (rules).       Rule id: '8888'       Level: '7'       Description: 'testrule'**Alert to be generated.