OSSEC-Bereitstellung in großem Maßstab

Wir haben ein Rechenzentrum und als glücklicher OSSEC- Benutzer versuche ich mein Management davon zu überzeugen, es für die Erkennung von Host-Intrusionen zu verwenden. Ich habe es jedoch nie auf mehr als einer Handvoll Servern bereitgestellt und bin mir nicht sicher, ob es skaliert.

Hat jemand OSSEC in großem Umfang bereitgestellt (z. B. mehr als 500 Server)? Skaliert es?

Ich helfe bei der Verwaltung einer vorhandenen Bereitstellung von mehr als 3300 Agenten mithilfe eines einzelnen OSSEC-Servers, der alle 24 Stunden ca. 300.000 Warnungen generiert.

Aus der OSSEC-Newsgroup und aus der direkten Kommunikation sind mir mehrere OSSEC-Installationen bekannt, die weit über 6000 Agenten hinausgehen (normalerweise mit mehreren OSSEC-Servern konfiguriert).

Dinge, die wir getan haben, haben geholfen:

• Verwenden Sie ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• Erhöhen Sie die maximale Anzahl von Agenten + Systemlimits (gemäß den Anweisungen am Ende von http://www.ossec.net/doc/faq/unexpected.html#id8 ).
• geändert ./src/addagent/validate.c (Zeile 60, ändern Sie 4000 in 9000 - um mehr Agenten-IDs zuzulassen)
• Verwenden Sie eine benutzerdefinierte vorinstallierte-vars.conf
• Richten Sie die Binärinstallation ein http://www.ossec.net/doc/manual/installation/installation-binary.html
• Verwenden Sie Puppet, um Installationen und die Registrierung von Agenten zu automatisieren (siehe http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns ).

Die Diskussion auf der OSSEC-Liste besagt, dass ein Server mit einer Neukompilierung Tonnen von Agenten hosten kann (das Poster dort, von dem ich glaube, dass es der Gründer von OSSEC ist, sagt, er habe es 2048 versucht).