Distribuzione OSSEC su larga scala

Abbiamo un data center e come felice utente OSSEC sto cercando di convincere il mio management a utilizzarlo per il rilevamento delle intrusioni nell'host. Tuttavia non l'ho mai distribuito su più di una manciata di server e non sono sicuro che si ridimensioni.

Qualcuno ha distribuito OSSEC su larga scala (diciamo oltre 500 server)? Scala?

Aiuto a gestire una distribuzione esistente di oltre 3300 agenti utilizzando un singolo server OSSEC che genera avvisi di ~ 300k ogni 24 ore.

Dal newsgroup OSSEC e dalle comunicazioni dirette conosco diverse installazioni OSSEC che vanno ben oltre i 6000 agenti (in genere configurati utilizzando più server OSSEC).

Le cose che abbiamo fatto hanno aiutato:

• usare ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• aumentare il numero massimo di agenti + limiti di sistema (per istruzioni in fondo a http://www.ossec.net/doc/faq/unexpected.html#id8 )
• modificato ./src/addagent/validate.c (riga 60, modifica 4000 a 9000 - per consentire più ID agente)
• usa un preloaded-vars.conf personalizzato
• installazione installazione binaria http://www.ossec.net/doc/manual/installation/installation-binary.html
• usa il pupazzo per automatizzare le installazioni, la registrazione dell'agente (controlla http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

La discussione sull'elenco OSSEC afferma che, con una ricompilazione, un server può ospitare tonnellate di agenti (il poster lì, che credo sia il fondatore di OSSEC, afferma di aver provato il 2048).