OSSEC büyük ölçekli dağıtım

Bir veri merkezimiz var ve mutlu bir OSSEC kullanıcısı olarak yönetimimi ana bilgisayar saldırı tespitinde kullanmak için ikna etmeye çalışıyorum. Ancak ben bir avuç sunuculardan daha fazla dağıtmamış ve ölçek olup olmadığından emin değilim.

Herkes OSSEC'i büyük ölçekte konuşlandırdı (örneğin 500+ sunucu)? Ölçekleniyor mu?

3300+ ajanın mevcut dağıtımını, 24 saatte bir ~ 300k uyarı üreten tek bir OSSEC sunucusu kullanarak yönetmeye yardımcı oluyorum.

OSSEC haber grubundan ve doğrudan iletişimden 6000 aracıyı aşan (genellikle birden fazla OSSEC sunucusu kullanılarak yapılandırılmış) birkaç OSSEC kurulumunu biliyorum.

Yaptığımız şeyler yardımcı oldu:

• ossec-authd kullanın http://www.ossec.net/doc/programs/ossec-authd.html
• maksimum aracı sayısını + sistem sınırlarını artırın ( http://www.ossec.net/doc/faq/unexpected.html#id8 altındaki talimatlara göre )
• değiştirildi ./src/addagent/validate.c (satır 60, 4000 ila 9000 değerini değiştirin - daha fazla aracı kimliğine izin vermek için)
• özel bir önceden yüklenmiş vars.conf kullanın
• ikili kurulum kurulumu http://www.ossec.net/doc/manual/installation/installation-binary.html
• yüklemeleri, aracı kaydını otomatikleştirmek için kukla kullanın ( http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns adresine bakın )

OSSEC listesindeki tartışma, bir derleme ile bir sunucunun tonlarca aracıya ev sahipliği yapabileceğini söylüyor (OSSEC'in kurucusu olduğuna inandığım poster 2048'i denediğini söylüyor).