У меня есть блейд DELL с ~ 100 виртуальными машинами (с гипервизором Citrix XenServer 6.1), все с агентом ossec, подключенным к серверу ossec за пределами этого же блейда. У меня небольшая проблема: все они запускают проверку руткитов одновременно, и их виртуальные диски находятся на одном RAID. Это вызывает IOwait на некоторых виртуальных машинах и dom0.
Есть ли способ сгруппировать некоторые из этих машин, чтобы они запускали проверку руткитов в другое время, чем остальные? Тип разделения моих 100 виртуальных машин на группы, со своими правилами и расписаниями, но подключенных к одному и тому же серверу ossec.
Заранее спасибо.
В ossec.conf установите для переменной «частота» другое значение - на самом деле, если вы хотите по-настоящему умничать, вы можете заставить каждую виртуальную машину выбирать это значение (конечно, между верхним и нижним пределом) случайным образом во время загрузки виртуальной машины. Это красиво их размазывает.