OSSEC крупномасштабное развертывание

У нас есть дата-центр, и, как счастливый пользователь OSSEC, я пытаюсь убедить свое руководство использовать его для обнаружения вторжений на хост. Однако я никогда не развертывал его на более чем нескольких серверах, и я не уверен, масштабируется ли он.

Кто-нибудь развернул OSSEC в больших масштабах (скажем, 500+ серверов)? Это масштабируется?

Я помогаю управлять существующим развертыванием более 3300 агентов, используя один сервер OSSEC, который генерирует ~ 300 тыс. Предупреждений каждые 24 часа.

Из группы новостей OSSEC и по прямой связи я знаю несколько установок OSSEC, которые выходят далеко за пределы 6000 агентов (обычно настраиваемых с использованием нескольких серверов OSSEC).

То, что мы сделали, помогло:

• используйте ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• увеличить максимальное количество агентов + системные ограничения (согласно инструкциям внизу http://www.ossec.net/doc/faq/unexpected.html#id8 )
• изменено ./src/addagent/validate.c (строка 60, изменить 4000 на 9000 - чтобы разрешить больше идентификаторов агентов)
• использовать пользовательский preloaded-vars.conf
• настройка бинарной установки http://www.ossec.net/doc/manual/installation/installation-binary.html
• Используйте Puppet для автоматизации установки, регистрации агента (см. http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

Обсуждение списка OSSEC говорит о том, что при перекомпиляции сервер может содержать тонны агентов (там, где я держу постер, который, как я считаю, является основателем OSSEC, говорит, что он пробовал 2048).