Penyebaran skala besar OSSEC

Kami memiliki pusat data dan sebagai pengguna OSSEC yang senang, saya mencoba meyakinkan manajemen saya untuk menggunakannya untuk deteksi intrusi host. Namun saya belum pernah menggunakannya di lebih dari beberapa server dan saya tidak yakin apakah itu skala.

Adakah yang telah menggunakan OSSEC dalam skala besar (katakanlah 500+ server)? Apakah skala?

Saya membantu mengelola penyebaran 3300+ agen yang ada menggunakan server OSSEC tunggal yang menghasilkan peringatan ~ 300r setiap 24 jam.

Dari newsgroup OSSEC dan dari komunikasi langsung saya tahu beberapa instalasi OSSEC yang melampaui 6000 agen (biasanya dikonfigurasi menggunakan beberapa server OSSEC).

Hal-hal yang kami lakukan yang membantu:

• gunakan ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• tingkatkan # agen + batas sistem maksimum (per instruksi di bagian bawah http://www.ossec.net/doc/faq/unexpected.html#id8 )
• dimodifikasi ./src/addagent/validate.c (baris 60, ubah 4000 ke 9000 - untuk memungkinkan lebih banyak ID agen)
• gunakan custom preloaded-vars.conf
• setup instalasi biner http://www.ossec.net/doc/manual/installation/installation-binary.html
• gunakan boneka untuk mengotomatiskan pemasangan, pendaftaran agen (lihat http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

Diskusi pada daftar OSSEC mengatakan bahwa, dengan kompilasi ulang, server dapat menampung banyak agen (poster di sana, yang saya percaya adalah pendiri OSSEC, mengatakan ia telah mencoba 2048).