การปรับใช้ OSSEC ขนาดใหญ่

เรามีศูนย์ข้อมูลและในฐานะผู้ใช้OSSEC ที่มีความสุขฉันพยายามโน้มน้าวให้ฝ่ายบริหารของฉันใช้สำหรับการตรวจจับการบุกรุกโฮสต์ อย่างไรก็ตามฉันไม่เคยปรับใช้มันกับเซิร์ฟเวอร์จำนวนมากและฉันไม่แน่ใจว่ามันจะขยายขนาดหรือไม่

มีใครปรับใช้OSSECในวงกว้าง (พูดว่าเซิร์ฟเวอร์มากกว่า 500+)? มันปรับขนาดได้หรือไม่

ฉันช่วยจัดการการปรับใช้ตัวแทนที่มีอยู่กว่า 3300+ รายโดยใช้เซิร์ฟเวอร์ OSSEC เดียวที่สร้างการแจ้งเตือน ~ 300k ทุก 24 ชั่วโมง

จากกลุ่มข่าวสาร OSSEC และจากการสื่อสารโดยตรงฉันรู้ว่ามีการติดตั้ง OSSEC หลายตัวที่ทำได้ดีกว่าตัวแทนกว่า 6,000 แห่ง (โดยทั่วไปจะกำหนดค่าโดยใช้เซิร์ฟเวอร์ OSSEC หลายตัว)

สิ่งที่เราทำนั่นช่วย:

• ใช้ ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• เพิ่ม # สูงสุดของตัวแทน + ขีด จำกัด ของระบบ (ต่อคำแนะนำที่ด้านล่างของhttp://www.ossec.net/doc/faq/unexpected.html#id8 )
• แก้ไข ./src/addagent/validate.c (บรรทัด 60 เปลี่ยน 4000 ถึง 9000 - เพื่ออนุญาต ID ตัวแทนเพิ่มเติม)
• ใช้แบบกำหนดเองที่โหลดไว้ล่วงหน้า -vars.conf
• ติดตั้งไบนารีติดตั้ง http://www.ossec.net/doc/manual/installation/installation-binary.html
• ใช้หุ่นเชิดเพื่อทำการติดตั้งโดยอัตโนมัติลงทะเบียนตัวแทน (ตรวจสอบ http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

การอภิปรายในรายการ OSSECบอกว่าด้วยการคอมไพล์เซิร์ฟเวอร์สามารถโฮสต์เอเจนต์จำนวนมาก (โปสเตอร์ที่ซึ่งฉันเชื่อว่าเป็นผู้ก่อตั้ง OSSEC เขาบอกว่าเขาลอง 2048)