Déploiement à grande échelle OSSEC

Nous avons un centre de données et en tant qu'utilisateur OSSEC heureux , j'essaie de convaincre ma direction de l'utiliser pour la détection d'intrusion d'hôte. Cependant, je ne l'ai jamais déployé sur plus d'une poignée de serveurs et je ne sais pas s'il évolue.

Quelqu'un a-t-il déployé OSSEC à grande échelle (disons 500+ serveurs)? Échelle-t-elle?

J'aide à gérer un déploiement existant de plus de 3300 agents à l'aide d'un seul serveur OSSEC qui génère environ 300 000 alertes toutes les 24 heures.

Du groupe de discussion OSSEC et des communications directes, je connais plusieurs installations OSSEC qui vont bien au-delà de 6000 agents (généralement configurés à l'aide de plusieurs serveurs OSSEC).

Les choses que nous avons faites qui ont aidé:

• utilisez ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• augmenter le nombre maximum d'agents + les limites du système (selon les instructions au bas de http://www.ossec.net/doc/faq/unexpected.html#id8 )
• modifié ./src/addagent/validate.c (ligne 60, remplacez 4000 par 9000 - pour autoriser plus d'ID d'agent)
• utiliser un fichier vars.conf préchargé personnalisé
• configuration de l'installation binaire http://www.ossec.net/doc/manual/installation/installation-binary.html
• utiliser des marionnettes pour automatiser les installations, l'enregistrement des agents (consultez http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

La discussion sur la liste OSSEC indique que, avec une recompilation, un serveur peut héberger des tonnes d'agents (l'affiche là-bas, qui je pense est le fondateur d'OSSEC, dit qu'il a essayé 2048).