OSSEC triển khai quy mô lớn

Chúng tôi có một trung tâm dữ liệu và là một người dùng OSSEC hạnh phúc, tôi đang cố gắng thuyết phục ban quản lý của mình sử dụng nó để phát hiện xâm nhập máy chủ. Tuy nhiên tôi chưa bao giờ triển khai nó trên nhiều máy chủ và tôi không chắc liệu nó có mở rộng quy mô hay không.

Bất cứ ai cũng đã triển khai OSSEC trên quy mô lớn (hơn 500 máy chủ)? Liệu nó có quy mô?

Tôi giúp quản lý việc triển khai hơn 3300 tác nhân bằng cách sử dụng một máy chủ OSSEC duy nhất tạo ra ~ 300k cảnh báo mỗi 24 giờ.

Từ nhóm tin tức OSSEC và từ các liên lạc trực tiếp, tôi biết một số cài đặt OSSEC vượt xa hơn 6000 tác nhân (thường được cấu hình bằng nhiều máy chủ OSSEC).

Những điều mà chúng tôi đã làm điều đó đã giúp:

• sử dụng ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• tăng tối đa # đại lý + giới hạn hệ thống (theo hướng dẫn ở cuối http://www.ossec.net/doc/faq/unazed.html#id8 )
• đã sửa đổi ./src/addagent/validate.c (dòng 60, thay đổi 4000 thành 9000 - để cho phép nhiều ID đại lý hơn)
• sử dụng tùy chỉnh tải sẵn-vars.conf
• thiết lập cài đặt nhị phân http://www.ossec.net/doc/manual/installation/installation-binary.html
• sử dụng con rối để tự động cài đặt, đăng ký đại lý (xem http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Potypes )

Thảo luận về danh sách OSSEC nói rằng, với một biên dịch lại, một máy chủ có thể lưu trữ hàng tấn đại lý (người đăng ở đó, người mà tôi tin là người sáng lập OSSEC, nói rằng anh ta đã thử vào năm 2048).