OSSEC大规模部署

Question

我们有一个数据中心，作为一个快乐的OSSEC用户，我试图说服我的管理层将它用于主机入侵检测。但是，我从未将它部署在少数几台服务器上，我不确定它是否可以扩展。

有没有人大规模部署过OSSEC（比如 500 多台服务器）？它有规模吗？

Answer 1

我使用单个 OSSEC 服务器帮助管理 3300 多个代理的现有部署，该服务器每 24 小时生成约 30 万个警报。

从 OSSEC 新闻组和直接通信中，我知道几个 OSSEC 安装远远超过 6000 个代理（通常使用多个 OSSEC 服务器进行配置）。

我们所做的有帮助的事情：

• 使用 ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• 增加最大代理数量 + 系统限制（按照http://www.ossec.net/doc/faq/unexpected.html#id8底部的说明）
• 修改 ./src/addagent/validate.c（第 60 行，将 4000 更改为 9000 - 以允许更多代理 ID）
• 使用自定义 preloaded-vars.conf
• 设置二进制安装 http://www.ossec.net/doc/manual/installation/installation-binary.html
• 使用 puppet 自动安装、代理注册（查看 http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns）