Taranis,
Respecto a lo que comentas, precísamente hoy he recibido una alerta:
OSSEC HIDS Notification.
2011 Apr 27 10:43:13
Received From: (ossec-xp) 192.168.1.5->WinEvtLog
Rule: 18154 fired (level 10) -> "Multiple Windows error events."
Portion of the log(s):
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
Tengo en el EventLog un evento de error de disk, pero en este caso creo no haber recibido nada. Tengo que ver la conguración del agente (ossec.conf)
Saludos,