OSSEC大规模部署

我们有一个数据中心，并且作为一个开心的OSSEC用户，我试图说服我的pipe理层将其用于主机入侵检测。然而，我从来没有将它部署在多台服务器上，我不确定它是否会扩展。

任何人都已经大规模部署了OSSEC （比如500多台服务器）？它是否缩放？

我使用单个OSSEC服务器来pipe理3300+代理的现有部署，该服务器每24小时生成约300k个警报。

从OSSEC新闻组和直接通信中，我知道几个OSSEC安装超出了6000个代理（通常使用多个OSSEC服务器configuration）。

我们这样做的帮助：

使用ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
增加最大代理人数+系统限制（根据http://www.ossec.net/doc/faq/unexpected.html#id8底部的说明）
修改./src/addagent/validate.c（第60行，将4000更改为9000 – 以允许更多代理ID）
使用一个自定义的preloaded-vars.conf
设置二进制安装http://www.ossec.net/doc/manual/installation/installation-binary.html
使用木偶来自动安装，代理注册（检查http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns ）

OSSEC名单上的讨论说，通过重新编译，一台服务器可以容纳大量的代理（那里的海报，我相信是OSSEC的创始人，他说已经尝试了2048年）。