OSSEC крупномасштабное развертывание
У нас есть дата-центр, и я, как счастливый пользователь OSSEC, пытаюсь убедить свое руководство использовать его для обнаружения вторжений на хост. Однако я никогда не развертывал его на более чем нескольких серверах, и я не уверен, масштабируется ли он.
Кто-нибудь развернул OSSEC в больших масштабах (скажем, 500+ серверов)? Это масштабируется?
2 ответа
Я помогаю управлять существующим развертыванием более 3300 агентов, используя один сервер OSSEC, который генерирует ~300 тыс. Предупреждений каждые 24 часа.
Из группы новостей OSSEC и по прямой связи я знаю несколько установок OSSEC, которые выходят далеко за пределы 6000 агентов (обычно настраиваемых с использованием нескольких серверов OSSEC).
То, что мы сделали, помогло:
- используйте ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
- увеличить максимальное количество агентов + системные ограничения (согласно инструкциям внизу http://www.ossec.net/doc/faq/unexpected.html)
- изменено./src/addagent/validate.c (строка 60, изменить 4000 на 9000 - чтобы разрешить больше идентификаторов агентов)
- использовать пользовательский preloaded-vars.conf
- настроить бинарную установку http://www.ossec.net/doc/manual/installation/installation-binary.html
- Используйте Puppet для автоматизации установки, регистрации агента (см. http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns)
Обсуждение списка OSSEC говорит о том, что с помощью перекомпиляции сервер может разместить тонны агентов (там, где я держу постер, который, я считаю, является основателем OSSEC, говорит, что он пробовал 2048).