Конкретно ваш случай не похож на наш.Могу сказать только, что значительно увеличив буферы на менеджере и отключив на агенте (установленном на WEF-сервере) использование буферизации вовсе, обрабатываем на менеджере свыше тысячи EPS без потерь. Однако у нас довольно мощная конфигурация - и RAM много и CPU. Конкретно в модуль FIM глубоко не погружались, но подозреваю, что его тоже можно подтюнить.
Добрый день. Вы тестировали Wazuh с настройками из коробки - как есть? Или что-то крутили? У него довольно много настроек (https://documentation.wazuh.com/current/user-manual/reference/internal-options.html). В том числе можно увеличить буфер агента или вообще отключить буферизацию - тогда агент будет передавать на менеджер данные с максимально возможной скоростью.
Конкретно ваш случай не похож на наш.Могу сказать только, что значительно увеличив буферы на менеджере и отключив на агенте (установленном на WEF-сервере) использование буферизации вовсе, обрабатываем на менеджере свыше тысячи EPS без потерь. Однако у нас довольно мощная конфигурация - и RAM много и CPU.
Конкретно в модуль FIM глубоко не погружались, но подозреваю, что его тоже можно подтюнить.
Добрый день. Вы тестировали Wazuh с настройками из коробки - как есть? Или что-то крутили?
У него довольно много настроек (https://documentation.wazuh.com/current/user-manual/reference/internal-options.html). В том числе можно увеличить буфер агента или вообще отключить буферизацию - тогда агент будет передавать на менеджер данные с максимально возможной скоростью.