Implantação OSSEC em larga escala

Temos um data center e, como um usuário feliz do OSSEC , estou tentando convencer meu gerenciamento a usá-lo para a detecção de intrusões de host. No entanto, nunca o implantei em mais de um punhado de servidores e não tenho certeza se ele é dimensionado.

Alguém implantou o OSSEC em larga escala (digamos, mais de 500 servidores)? Escala?

Ajudo a gerenciar uma implantação existente de mais de 3300 agentes usando um único servidor OSSEC que gera ~ 300k alertas a cada 24 horas.

No grupo de notícias OSSEC e nas comunicações diretas, conheço várias instalações OSSEC que vão muito além de 6000 agentes (normalmente configuradas usando vários servidores OSSEC).

O que fizemos que ajudou:

• use ossec-authd http://www.ossec.net/doc/programs/ossec-authd.html
• aumentar o número máximo de agentes + limites do sistema (de acordo com as instruções na parte inferior de http://www.ossec.net/doc/faq/unexpected.html#id8 )
• modificado ./src/addagent/validate.c (linha 60, altere 4000 para 9000 - para permitir mais IDs de agente)
• use um preloaded-vars.conf personalizado
• instalação binária de instalação http://www.ossec.net/doc/manual/installation/installation-binary.html
• use fantoche para automatizar instalações, registro de agentes (consulte http://projects.puppetlabs.com/projects/1/wiki/OSSEC-HIDS_Patterns )

A discussão na lista OSSEC diz que, com uma recompilação, um servidor pode hospedar muitos agentes (o pôster lá, que acredito ser o fundador da OSSEC, diz que tentou 2048).