1 - Есть 3 варианта установки: сервер,агент или локальный.
3 - Если выбрать "сервер", Вы сможете анализировать логи, создавать уведомления
4 по e-mail и ответные действия, а также получать логи от удаленных syslog
5 серверов и машин с установленными агентами (откуда все данные посылаются
6 зашифрованными) .Если выбрать "агент" (клиент) Вы сможете читать локальные
7 файлы (от syslog, snort, apache, и так далее) и пересылать их (зашифрованным
8 и) на сервер для анализа. Если выбрать локальный то Вы сможете делать всё что
9 вариант "сервер" позволяет делать кроме принимать сообщения от агентлв на
10 удалённых машинах или внешних устройств syslog .
11 - Выберите "сервер" если хотите установить сервер обработки логов/анализа.
12 - Выберите "агент" если другая машина будет сервером обрабатывающим логи и туда
13 устанавливаемый агент будет посылать свои логи (идеально для веб серверов,
14 серверов баз данных ).
15 - Выберите "локальный" если у Вас всего лишь одна система . Более подробно
16 можно прочитать здесь: http://www.ossec.net/en/manual.html#starting