Centos 6.4 ossec部署超过1000台agent遇到的坑

ossec批量部署中遇到了很多问题,说下其中的两个。

1、key_gen.py该脚本一次最多生成1000个keys,超过1000台agent,需多生成几次,只要ip对应正确的key即可。agent的名字最大支持32个字符,超过32个字符就会报错。

该脚本可以添加、移除、提取、导入agent

/root/ossec-hids-2.8.3/contrib/ossec-batch-manager.pl

Usage: /root/ossec-hids-2.8.3/contrib/ossec-batch-manager.pl [OPERATION] [OPTIONS]

[operations]

-a or --add                    = Add a new agent

-r or --remove  [id]           = Remove agent

-e or --extract [id|name|ip]   = Extract key

-m or --import  [keydata]      = Import key

-l or --list                   = List available agents

[options]

-k or --key     [keydata]  = Key data

-n or --name    [name]     = Agent name (32 character max)

-i or --id      [id]       = Agent identification (integer)

-p or --ip      [ip]       = IP address

2、每一台ossec-server默认支持256个agent,最大支持2048个agent。要想支持2048个agent,需要在安装之前设置一下。

[[email protected] ~]# cd ossec-hids-2.8.3/src/

[[email protected] src]# make setmaxagents

Specify maximum number of agents: 2048

Maximum number of agents set to 2048.

[[email protected] src]# cd ..

[[email protected] ossec-hids-2.8.3]# ./install.sh

...

...

linux系统默认最大打开文件数为1024,需要修改内核参数为2048

[[email protected] ossec-hids-2.8.3]# ulimit -n 2048

[[email protected] ossec-hids-2.8.3]# sysctl -w kern.maxfiles=2048

[[email protected] ossec-hids-2.8.3]# sysctl -w net.core.rmem_default=5123840

[[email protected] ossec-hids-2.8.3]# sysctl -w net.core.rmem_max = 5123840

设置开机自启动,在该文件最后添加

[[email protected] ossec-hids-2.8.3]# vi /etc/profile

ulimit -n 2048

[[email protected] ossec-hids-2.8.3]# vi /etc/security/limits.conf

ossec            soft    nofile          2048

ossec            hard    nofile          2048

ossecr           soft    nofile          2048

ossecr           hard    nofile          2048

设置完成之后,执行命令生效

[[email protected] ossec-hids-2.8.3]# source /etc/profile

[[email protected] ossec-hids-2.8.3]# sysctl -p

查看是否成功设置open files为2048

[[email protected] ossec-hids-2.8.3]# ulimit -a

core file size          (blocks, -c) 0

data seg size           (kbytes, -d) unlimited

scheduling priority             (-e) 0

file size               (blocks, -f) unlimited

pending signals                 (-i) 62838

max locked memory       (kbytes, -l) 64

max memory size         (kbytes, -m) unlimited

open files                      (-n) 2048

pipe size            (512 bytes, -p) 8

POSIX message queues     (bytes, -q) 819200

real-time priority              (-r) 0

stack size              (kbytes, -s) 10240

cpu time               (seconds, -t) unlimited

max user processes              (-u) 62838

virtual memory          (kbytes, -v) unlimited

file locks                      (-x) unlimited

启动ossec服务,在ossec日志里面也可以查看是否设置成功

[[email protected] ossec-hids-2.8.3]# grep ‘2048‘ /var/ossec/logs/ossec.log

2016/03/29 14:11:37 ossec-remoted(4111): INFO: Maximum number of agents allowed: ‘2048‘.

2016/03/29 14:12:09 ossec-remoted(4111): INFO: Maximum number of agents allowed: ‘2048‘.

时间: 2024-09-29 23:17:44

Centos 6.4 ossec部署超过1000台agent遇到的坑的相关文章

从 0 到 1000+ 台服务器监控的构建之路

来源:民工哥技术之路 ID:jishuroad 作者:顾凯 第一阶段:200台以下 第二阶段:200~1000台 第三阶段:1000+(1000以上和2000以上没啥区别了) 每个阶段的分界点也不是那么精确的,就是一个大概的时期,变化都是一个逐渐的过程. 机器数量小于200台的阶段 这个时期需求简单,主要用于通知问题.快速定位解决问题,大致总结一下,主要需求就三点: 1. 简单,易用: 2. 稳定运行: 3. 能够报警,邮件,短信. 基于以上需求,可以使用比较流行开源的监控软件Nagios,Ca

CentOS 6.5 安装部署iSCSi共享存储

 CentOS 6.5 安装部署iSCSi共享存储 一.前言 1.什么是iSCSI? iSCSI技术是一种由IBM公司研究开发的,是一个供硬件设备使用的可以在IP协议的上层运行的SCSI指令集,这种指令集合可以实现在IP网络上运行SCSI协议,使其能够在诸如高速千兆以太网上进行路由选择.iSCSI技术是一种新储存技术,该技术是将现有SCSI接口与以太网络(Ethernet)技术结合,使服务器可与使用IP网络的储存装置互相交换资料. iSCSI:Internet 小型计算机系统接口 (iSCSI:

CentOS 6.3下部署LVS(NAT)+keepalived实现高性能高可用负载均衡

一.系统环境 实验拓扑: 实验环境: Vmware 9.01 + Windows 8 x64 企业版+8G内存 虚拟机步骤: 1.安装一台CentOS 6.3 x64主机,内存为1GB,网络为NAT模式,注意检查Vmware中EDIT菜单下Virtual Network Editor中VMnet8 2. 加电,安装系统.基础知识了,不再多说,注意:选择英文而不要选择中文,选择是Basic Server模式,系统名称:LVS-MASTER 3.安装系统后,用root用户登录进去,执行 ifconf

CentOS 6.3下部署LVS(NAT模式)+keepalived实现高性能高可用负载均衡

一.简介 VS/NAT原理图: 二.系统环境 实验拓扑: 系统平台:CentOS 6.3 Kernel:2.6.32-279.el6.i686 LVS版本:ipvsadm-1.26 keepalived版本:keepalived-1.2.4 三.安装 0.安装LVS前系统需要安装popt-static,kernel-devel,make,gcc,openssl-devel,lftp,libnl*,popt* 1.在两台Director Server上分别配置LVS+Keepalived LVS

Centos下Kubernetes+Flannel部署(新)

一.准备工作 1) 三台centos主机 k8s master: 10.11.151.97  tc-151-97 k8s node1: 10.11.151.100  tc-151-100 k8s node2: 10.11.151.101  tc-151-101 2)程序下载(百度网盘) k8s-1.1.3,Docker-1.8.2,ETCD-2.2.1,Flannel-0.5.5 二.ETCD集群部署 ETCD是k8s集群的基础,可以单结点也可以以集群的方式部署.本文以三台主机组成ETCD集群进

CentOS 6.3下部署LVS(NAT)+keepalived实现高性能高可用负载均衡【转】

CentOS 6.3下部署LVS(NAT)+keepalived实现高性能高可用负载均衡 一.简介 VS/NAT原理图: 二.系统环境 实验拓扑: 系统平台:CentOS 6.3 Kernel:2.6.32-279.el6.i686 LVS版本:ipvsadm-1.26 keepalived版本:keepalived-1.2.4 三.安装 0.安装LVS前系统需要安装popt-static,kernel-devel,make,gcc,openssl-devel,lftp,libnl*,popt*

查询出所有首笔订单金额超过1000的会员卡号及其首笔订单金额

题目源自:http://www.cnblogs.com/xpivot/p/4143069.html#!comments 有一张ER图描述数据结构,简单文字描述如下,劳烦看官各种脑补主外键关系: 一张会员表(account),字段有会员id(account_id), 会员卡号(account_num)... 一张交易订单表(trans),字段有会员id(account_id),交易时间(trans_time),交易金额(sales)... 要求查询出所有首笔订单金额超过1000的会员卡号及其首笔订

处理 Oracle SQL in 超过1000 的解决方案

处理oracle sql 语句in子句中(where id in (1, 2, ..., 1000, 1001)),如果子句中超过1000项就会报错.这主要是oracle考虑性能问题做的限制.如果要解决次问题,可以用 where id (1, 2, ..., 1000) or id (1001, ...) package windy.learn; import java.util.Collection; import org.apache.commons.lang3.StringUtils; p

apache、tomcat部署——在一台主机内

在上一篇中写了tomcat独立部署,自己提供web,自己提供容器.此处使用apache进行代理,apache和tomcat部署在一台主机上. 1.httpd的安装 httpd使用的版本是httpd-2.4.4.tar.bz2,这里使用源码编译安装.源码可到http://archive.apache.org/dist/httpd/#releases 进行下载.安装前先通过rpm命令查看apr和apr-util包的版本信息,httpd-2.4以上版本需要apr和apr-util的版本至少是1.4以上