Implementação em larga escala do OSSEC

Navegue suas respostas
10

Temos um data center e, como um usuário feliz do OSSEC , estou tentando convencer meu gerenciamento a usá-lo para a detecção de invasões do host . No entanto, nunca o implantei em mais de um punhado de servidores e não tenho certeza se ele é dimensionável.

Alguém implantou o OSSEC em grande escala (digamos, mais de 500 servidores)? Escala?

    
por lisa1987 12.05.2012 / 19:37

2 respostas

6

Eu ajudo a gerenciar uma implantação existente de agentes 3300+ usando um único servidor OSSEC que gera ~ 300k alertas a cada 24 horas.

No newsgroup da OSSEC e nas comunicações diretas, conheço várias instalações do OSSEC que vão muito além de 6000 agentes (geralmente configurados usando vários servidores OSSEC).

As coisas que fizemos ajudaram:

  • use ossec-authd link
  • aumenta o número máximo de agentes + limites do sistema (por instruções no parte inferior do link )
  • modificado ./src/addagent/validate.c (linha 60, altere 4000 a 9000 - para permitir mais IDs de agente)
  • use um arquivo preloaded-vars.conf personalizado
  • instalação binária de configuração link
  • usa o fantoche para automatizar instalações, registro de agente (confira link )
por 31.05.2012 / 04:12
1

A discussão sobre lista OSSEC diz que, com uma recompilação, uma O servidor pode hospedar toneladas de agentes (o cartaz lá, que eu acredito ser o fundador do OSSEC, diz que ele tentou 2048).

    
por 13.05.2012 / 21:14

Tags

Arquitetar rede com sistema telefônico half duplex de 10 Mbps max comprimento de url 257 caracteres para mod_rewrite?