taranis, Liamngls,
Como tenía un server OSSEC montado, he realizado lo siguiete: he instalado sensores ossec en los Windows para aque estos recogan los eventos y los envíen al server OSSEC montado en un Ubuntu 10.10. No lo hacen por syslog, se conectan a un puerto UDP del server. A su vez, he configurado éste como sensor de Prelude SIEM IDS / IPS para que envie todos los eventos y alertas a un centro de control Prelude. Funciona de escándalo.
Al final lo que tengo es una serie de sensores windows contra ossec. De forma independiente una serie de sensores snort y suricata en distintos puntos de la red, y todos centralizado en Prelude manager. Con el gestor de alertas y sensores Prelude puedo ver todos los eventos y alertas de todos los sensores ditribuidos por toda mi red.
Saludos y gracias,