Мониторинг производительности Snort


11

Используя snort версии 2.8.6, я пытаюсь собрать статистику производительности приложений, такую ​​как

  • Количество пакетов, не обработанных из-за перегрузки приложения
  • Процент времени в слоях обработки (препроцессор, повторная сборка, сопоставление с образцом и т. Д.)
  • Количество обработанных пакетов
  • и т.д

В настоящее время я использую препроцессор perfmonitor для вывода статистики производительности и отображения некоторых из этих значений с помощью вызовов SNMP. Документация по этому препроцессору довольно ограничена и не может объяснить, что на самом деле означают поля или в какие сроки рассчитываются цифры.

Для того, чтобы получить эти виды метрик производительности, какие поля должны я смотреть и как эти поля измеряются?


Вы можете попытаться прикрепить награду к этому, чтобы привлечь внимание. Я не уверен, насколько возможно получить некоторые статистические данные, которые вы ищете, но должен быть способ получить хотя бы некоторые из них.
Калеб

Ответы:


3

Прямо сейчас у вас включен мониторинг производительности, но вы хотите включить производительность и правило профилирования. Профиль производительности предоставит статистику того, на что preproc snort тратит свое время.

Добавьте следующие строки в snort:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Пусть snort запустится некоторое время, а затем при выходе вы увидите выходные файлы.

Для получения дополнительной информации см. Стр. 107 Руководства по Snort
( http://www.snort.org/assets/166/snort_manual.pdf ).


0

Suricata является альтернативой Snort и фактически загружает наборы правил VRF и EmergingThreat. Он многопоточный и, очевидно, намного быстрее, чем Snort. Мой коллега говорит, что пакеты Debian лучше, чем у Snort.

Вот ссылка на статистику движка, которую вы можете получить из Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Есть 2 основных компонента статистики производительности. Во-первых, модуль фактически считает элементы, такие как модуль потока, считающий новые потоки / сек. Во-вторых, это модуль, который собирает всю эту статистику и каким-то образом делает ее доступной для администратора (log, snmp msg и т. Д.).

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.