Implementación OSSEC a gran escala

Tenemos un centro de datos y, como usuario feliz de OSSEC , estoy tratando de convencer a mi administración para que lo use para la detección de intrusiones en el host. Sin embargo, nunca lo he implementado en más de un puñado de servidores y no estoy seguro de si escala.

¿Alguien ha implementado OSSEC a gran escala (por ejemplo, más de 500 servidores)? ¿Se escala?

Ayudo a administrar una implementación existente de más de 3300 agentes utilizando un único servidor OSSEC que genera ~ 300k alertas cada 24 horas.

Del grupo de noticias OSSEC y de las comunicaciones directas conozco varias instalaciones OSSEC que van más allá de 6000 agentes (típicamente configurados usando múltiples servidores OSSEC).

Cosas que hicimos que ayudaron:

• use ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• aumentar el número máximo de agentes + límites del sistema (según las instrucciones en la parte inferior de http://www.ossec.net/doc/faq/unexpected.html#id8 )
• modificado ./src/addagent/validate.c (línea 60, cambie 4000 a 9000, para permitir más ID de agente)
• use un preloaded-vars.conf personalizado
• instalación binaria de instalación http://www.ossec.net/doc/manual/installation/installation-binary.html
• use puppet para automatizar instalaciones, registro de agentes (consulte http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

La discusión sobre la lista OSSEC dice que, con una recompilación, un servidor puede alojar toneladas de agentes (el póster allí, que creo que es el fundador de OSSEC, dice que ha intentado 2048).