OSSEC大規模展開
私たちはデータセンターを持っており、幸せな [〜#〜] ossec [〜#〜] ユーザーとして私は管理者にホスト侵入検知にそれを使用するように説得しようとしています。ただし、これを少数のサーバーに展開したことがなく、拡張できるかどうかはわかりません。
誰もが大規模に展開しました [〜#〜] ossec [〜#〜] (たとえば500以上のサーバー)?それはスケーリングしますか?
私は、24時間ごとに最大300,000のアラートを生成する単一のOSSECサーバーを使用して、3300以上のエージェントの既存の展開を管理するのを支援します。
OSSECニュースグループと直接通信から、6000エージェント(通常は複数のOSSECサーバーを使用して構成されます)をはるかに超えるいくつかのOSSECインストールについて知っています。
私たちがそれをしたことは助けになりました:
- ossec-authdを使用 http://www.ossec.net/doc/programs/ossec-authd.html
- エージェントの最大数+システム制限を増やします( http://www.ossec.net/doc/faq/unexpected.html#id8 の下部にある指示に従って)
- 変更された./src/addagent/validate.c(60行目、4000を9000に変更–より多くのエージェントIDを許可する)
- カスタムpreloaded-vars.confを使用します
- バイナリインストールのセットアップ http://www.ossec.net/doc/manual/installation/installation-binary.html
- インストール、エージェント登録を自動化するためにパペットを使用(チェックアウト http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )
OSSECリスト に関する議論では、再コンパイルにより、サーバーは大量のエージェントをホストできると述べています(OSSECの創設者であると私が信じているポスターは2048を試したと言っています)。