OSSEC大規模展開

私たちにはデータセンターがあり、OSSECの幸せなユーザーとして、ホストの侵入検知にそれを使用するよう経営陣に説得しようとしています。ただし、これを少数のサーバーに展開したことがなく、拡張できるかどうかはわかりません。

誰もがOSSECを大規模に（たとえば500台以上のサーバーに）展開しましたか？それはスケーリングしますか？

24時間ごとに〜300kのアラートを生成する単一のOSSECサーバーを使用して、3300以上のエージェントの既存の展開の管理を支援します。

OSSECニュースグループと直接通信から、6000エージェント（通常は複数のOSSECサーバーを使用して構成）をはるかに超えるいくつかのOSSECインストールについて知っています。

これにより、次のことが可能になりました。

• ossec-authd http://www.ossec.net/doc/programs/ossec-authd.htmlを使用してください
• エージェントの最大数+システム制限を増やします（http://www.ossec.net/doc/faq/unexpected.html#id8の下部にある指示に従って）
• 変更された./src/addagent/validate.c（行60、4000から9000に変更-より多くのエージェントIDを許可するため）
• カスタムpreloaded-vars.confを使用する
• バイナリインストールのセットアップ http://www.ossec.net/doc/manual/installation/installation-binary.html
• インストール、エージェント登録を自動化するためにパペットを使用します（http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patternsを確認してください ）

OSSECリストでの議論によると、サーバーは再コンパイルによって大量のエージェントをホストできるとのことです（OSSECの創設者であると私が信じているポスターは、2048を試したと述べています）。