OSSEC बड़े पैमाने पर तैनाती

10

हमारे पास एक डेटा-केंद्र है और एक खुश ओएसएसईसी उपयोगकर्ता के रूप में मैं अपने प्रबंधन को मेजबान घुसपैठ का पता लगाने के लिए इसका इस्तेमाल करने के लिए मनाने की कोशिश कर रहा हूं। हालाँकि मैंने कभी भी इसे मुट्ठी भर सर्वरों पर तैनात नहीं किया है और मुझे यकीन नहीं है कि यह पैमाने पर काम करता है।

किसी ने बड़े पैमाने पर OSSEC तैनात किया है (500+ सर्वर कहें)? क्या यह पैमाना है?

ids ossec

— lisa1987
स्रोत

6

मैं एक एकल OSSEC सर्वर का उपयोग करके 3300+ एजेंटों की मौजूदा तैनाती को प्रबंधित करने में मदद करता हूं जो हर 24 घंटे में ~ 300k अलर्ट उत्पन्न करता है।

OSSEC न्यूज़ग्रुप से और प्रत्यक्ष संचार से मुझे कई OSSEC इंस्टॉलेशन के बारे में पता चलता है जो 6000 एजेंटों (आमतौर पर कई OSSEC सर्वरों का उपयोग करके कॉन्फ़िगर) से परे अच्छी तरह से चलते हैं।

जो चीजें हमने कीं, उससे मदद मिली:

ossec-Cortd का उपयोग करें http://www.ossec.net/doc/programs/ossec-authd.html
एजेंटों की अधिकतम # वृद्धि करें + सिस्टम सीमाएँ ( http://www.ossec.net/doc/faq/unexpected.html#id8 के तल पर निर्देश )
संशोधित ./src/addagent/validate.c (पंक्ति 60, 4000 से 9000 में परिवर्तन - अधिक एजेंट आईडी की अनुमति देने के लिए)
कस्टम प्रीलोडेड-vars.conf का उपयोग करें
सेटअप बाइनरी इंस्टॉलेशन http://www.ossec.net/doc/manual/installation/installation-binary.html
इंस्टॉल, एजेंट पंजीकरण ( http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns ) की जांच करने के लिए कठपुतली का उपयोग करें

— ताते हंसें
स्रोत

1

OSSEC सूची पर चर्चा का कहना है कि, एक recompile के साथ, एक सर्वर टन एजेंटों की मेजबानी कर सकता है (वहां पोस्टर, जो मुझे लगता है कि OSSEC के संस्थापक हैं, कहते हैं कि उन्होंने 2048 की कोशिश की है)।

— बिल वीज़
स्रोत