우리는 데이터 센터를 가지고 있으며 행복한 OSSEC 사용자 로서 경영진이 호스트 침입 탐지 에이 데이터 를 사용하도록 설득하려고합니다. 그러나 소수의 서버에 배포 한 적이 없으며 확장 가능한지 확실하지 않습니다.
누구든지 OSSEC 을 대규모로 배포 한 적이 있습니까 (예 : 500 대 이상의 서버)? 확장합니까?
답변
24 시간마다 ~ 300k 알림을 생성하는 단일 OSSEC 서버를 사용하여 3300+ 에이전트의 기존 배포를 관리 할 수 있습니다.
OSSEC 뉴스 그룹과 직접 통신을 통해 6000 개 이상의 에이전트 (일반적으로 여러 OSSEC 서버를 사용하여 구성)를 넘어서는 몇 가지 OSSEC 설치를 알고 있습니다.
우리가 한 일이 도움이되었습니다.
- ossec-authd 사용 http://www.ossec.net/doc/programs/ossec-authd.html
- 최대 에이전트 수 + 시스템 제한 증가 ( http://www.ossec.net/doc/faq/unexpected.html#id8 하단의 지침에 따라 )
- ./src/addagent/validate.c 수정 (60 행, 4000을 9000으로 변경 – 더 많은 에이전트 ID 허용)
- 사용자 정의 preloaded-vars.conf를 사용하십시오.
- 바이너리 설치 설치
http://www.ossec.net/doc/manual/installation/installation-binary.html - 퍼펫을 사용하여 설치 자동화, 에이전트 등록 ( http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns 확인
)