OSSEC 的另一個吸引人的地方，就是active-response，可以針對規則進行自動處理。不過最好慎用這個功能，否則，干掉了不該干掉的東西，那后果非常嚴重，所以，用這個東西，自動進行報警，還是不錯的選擇。

這里還是先給出一個標準配置，進行說明：

<command>

<name>test</name> //這個command 的名字，active-response 之后調用的

<executable>test.sh</executable> //腳本的名字，需要把這個腳本放到 /var/ossec/active-response/bin下 而且需要有執行權限，屬于ossec 這個組 -r-xr-x— 1 root ossec 445 11-09 16:15 test.sh

<timeout_allowed>no</timeout_allowed> //超時設置 比如多長時間失效等等

<expect></expect> //例外，一般不設置

</command>

<active-response> //這兒需要放到 <command> 下面，否則 就會出現找不到command

<command>test</command> // 響應的command 的名字，就是上面定義的那個

<location>server</location> //響應的位置，server 就是服務器響應，比如執行一個腳本，agent 就是客戶端響應

<level>1</level> //響應的級別。 就是1 級以上就響應

</active-response>

最后，再來看腳本文件，這個腳本就是添加一個用戶。

文件名 ：test.sh

useradd lion

ACTION=$1

USER=$2

IP=$3

LOCAL=`dirname $0`;

cd $LOCAL

cd ../

PWD=`pwd`

# Logging the call

echo “`date` $0 $1 $2 $3 $4 $5″ >> ${PWD}/../logs/active-responses.log

參考http://www.ossec.net/doc/manual/ar/index.html