Широке розгортання OSSEC

У нас є центр обробки даних і, як щасливий користувач OSSEC, я намагаюся переконати своє керівництво використовувати його для виявлення вторгнень в хост. Однак я ніколи не розгортав його на більшій кількості серверів, і я не впевнений, чи має це масштаб.

Хтось розгорнув OSSEC у великих масштабах (скажімо, 500+ серверів)? Чи масштабує?

Я допомагаю керувати наявним розгортанням 3300+ агентів за допомогою одного сервера OSSEC, який генерує ~ 300k сповіщень кожні 24 години.

З групи новин OSSEC та з прямого зв'язку я знаю декілька установок OSSEC, що виходять за рамки 6000 агентів (як правило, налаштовані за допомогою декількох серверів OSSEC).

Що ми зробили, що допомогло:

• використовувати ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• збільшити максимальну кількість агентів + ​​системні ліміти (за інструкціями внизу http://www.ossec.net/doc/faq/unexpected.html#id8 )
• модифіковано ./src/addagent/validate.c (рядок 60, змінити 4000 на 9000 - щоб дозволити більше ідентифікаторів агента)
• використовувати спеціальний попередньо завантажений-vars.conf
• налаштування бінарної установки http://www.ossec.net/doc/manual/installation/installation-binary.html
• використовувати маріонетку для автоматизації встановлень, реєстрації агента (перевірити http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

У дискусії зі списку OSSEC йдеться про те, що за допомогою перекомпіляції сервер може розміщувати багато агентів (афиша там, яка, на мою думку, є засновником OSSEC, говорить, що він спробував 2048).