hola taranis,
yo tengo ahora 3 sensores windows XP/2000/2003 y van perfectamente. Para cada uno de ellos tienes un fichero de configuración ossec.conf para añadir / modificar fuentes de datos de registro, logs, etc. yo he añadirdo algunas cosillas que me interesaban. sobre el tema de discos duros, Eventlogs ya te reporta información cuando hay algún problema con los disco que, seguro, será reportado al sensor ossec.
En la serie que estoy escribiendo sobre perlude / ossec, etc, la visualización de los eventos se realiza a través e prelude y prewikka. De todas formas OSSEC tiene su propio visor.
saludos,