Установил у себя сурикату. Она, как мне кажется, лучшая замена связки OSSEC/Snort, что была у меня раньше.

Вроде всё работает. Но там тысячи правил. Надо будет заглядывать в логи, не блочится ли там что-то лишнее.