Ids
OSSEC 大規模部署
我們有一個數據中心,作為一個快樂的OSSEC使用者,我正試圖說服我的管理層將其用於主機入侵檢測。但是,我從未將它部署在少數伺服器上,而且我不確定它是否可以擴展。
有人大規模部署過OSSEC (比如 500 多台伺服器)嗎?它可以擴展嗎?
我使用單個 OSSEC 伺服器幫助管理 3300 多個代理的現有部署,該伺服器每 24 小時生成約 300k 警報。
從 OSSEC 新聞組和直接通信中,我知道有幾個 OSSEC 安裝遠遠超過 6000 個代理(通常使用多個 OSSEC 伺服器進行配置)。
我們所做的有幫助的事情:
- 使用 ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
- 增加最大代理數量 + 系統限制(根據http://www.ossec.net/doc/faq/unexpected.html#id8底部的說明)
- 修改 ./src/addagent/validate.c(第 60 行,將 4000 更改為 9000 - 以允許更多代理 ID)
- 使用自定義的 preloaded-vars.conf
- setup 二進制安裝 http://www.ossec.net/doc/manual/installation/installation-binary.html
- 使用 puppet 自動化安裝、代理註冊(查看 http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns)