В статье Установка и настройка OSSEC-HIDS расписана базовая установка. Но есть некоторые ньюансы, о которых хотелось бы сказать. Максимальное число агентов, поддерживаемое сервером по умолчанию равно 256. О чем свидетельствует запись в журнале после его старта:

INFO: Maximum number of agents allowed: '256'.

Изменить это значение можно использовав перед запуском установочного скрипта, параметр “setmaxagents”.

$ cd src; make setmaxagents
Specify maximum number of agents: 4096
Maximum number of agents set to 4096
 
$ cd ..; sudo ./install.sh

Теперь максимальное количество агентов будет равно 4096. Но этот предел ограничен еще и настройками ОС, в частности количеством одновременно открытых файлов, по умолчанию в Linux это число равно 1024.

$ ulimit –a
open files	(-n) 1024

При добавлении 1025 агента получим:

** ID '1025' already present. They must be unique.

Изменим число:

$ sudo ulimit –n 4096

Или

$ sudo sysctl -w kern.maxfiles=4096

После чего следует перезапустить OSSIM.
Присутствие компилятора на сервере не желательно, поэтому разработчики предусмотрели возможность бинарной установки. Для этого вначале на другой системе следует собрать OSSIM (результат будет сохранен в подкаталоге bin), затем перенести исходные тексты на сервер. Теперь в файле etc/preloaded-vars.conf снимаем комментарий со строки:

USER_BINARYINSTALL="x"

И запускаем установку обычным образом.