OSSEC大规模部署

Question

我们有一个数据中心，作为一个快乐的OSSEC用户，我正试图说服我的管理人员使用它来检测主机入侵。然而，我从未在多个服务器上部署过它，我也不确定它是否具有扩展性。

谁已经大规模部署了OSSEC (比如500+服务器)？有比例尺吗？

Answer 1

我使用一个OSSEC服务器帮助管理现有的3300+代理部署，该服务器每24小时生成300 k警报。

从OSSEC新闻组和直接通信中，我知道几个OSSEC安装远远超过6000代理(通常使用多个OSSEC服务器进行配置)。

我们所做的一切都很有帮助：

• 使用ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• 增加代理的最大#+系统限制(http://www.ossec.net/doc/faq/unexpected.html#id8底部的指令)
• 修改后的./src/addagent/valdate.c(第60行，将4000更改为9000 -以允许更多代理ID)
• 使用自定义预加载-vars.conf
• 安装二进制安装http://www.ossec.net/doc/manual/installation/installation-binary.html
• 使用傀儡自动安装，代理注册(签出http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_模式)

Answer 2

关于OSSEC名单的讨论说，通过重新编译，服务器可以承载大量代理(我认为该海报是OSSEC的创始人，他说他尝试过2048年)。