Wdrożenie OSSEC na dużą skalę

Mamy centrum danych i jako szczęśliwy użytkownik OSSEC staram się przekonać moje kierownictwo do wykorzystania go do wykrywania włamań do hosta. Jednak nigdy nie wdrożyłem go na więcej niż kilku serwerach i nie jestem pewien, czy skaluje się.

Czy ktoś wdrożył OSSEC na dużą skalę (powiedzmy ponad 500 serwerów)? Czy to się skaluje?

Pomagam zarządzać istniejącym wdrożeniem ponad 3300 agentów za pomocą jednego serwera OSSEC, który generuje ~ 300 000 alertów co 24 godziny.

Z grupy dyskusyjnej OSSEC i bezpośredniej komunikacji wiem o kilku instalacjach OSSEC, które znacznie wykraczają poza 6000 agentów (zazwyczaj skonfigurowanych przy użyciu wielu serwerów OSSEC).

Pomogliśmy:

• użyj ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• zwiększ maksymalną liczbę agentów + limity systemowe (zgodnie z instrukcjami na dole http://www.ossec.net/doc/faq/u nieoczekiwany.html# id8 )
• zmodyfikowano ./src/addagent/validate.c (wiersz 60, zmień 4000 na 9000 - aby zezwolić na więcej identyfikatorów agentów)
• użyj niestandardowego pliku preloaded-vars.conf
• skonfiguruj instalację binarną http://www.ossec.net/doc/manual/installation/installation-binary.html
• użyj marionetki do automatyzacji instalacji, rejestracji agenta (sprawdź http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

Dyskusja na liście OSSEC mówi, że po ponownej kompilacji serwer może obsługiwać mnóstwo agentów (tam plakat, który, jak sądzę, jest założycielem OSSEC, mówi, że próbował 2048).