Monitorowanie wydajności Snort

Korzystając z snorta w wersji 2.8.6, próbuję zebrać statystyki wydajności aplikacji, takie jak

• Liczba pakietów nie przetworzonych z powodu przeciążenia aplikacji
• Procent czasu w warstwach przetwarzania (preprocesor, ponowny montaż, dopasowanie wzorca itp.)
• Liczba przetworzonych pakietów
• itp

Obecnie używam preprocesora perfmonitora do zrzucania statystyk wydajności i grafowania niektórych z tych wartości za pomocą wywołań SNMP. Dokumentacja na temat tego preprocesora jest dość ograniczona i nie radzi sobie dobrze z wyjaśnieniem, co tak naprawdę oznaczają pola, ani z jakiego przedziału czasowego obliczane są liczby.

Aby uzyskać tego rodzaju wskaźniki wydajności, na jakie pola powinienem patrzeć i jak je mierzyć?

W tej chwili masz włączone monitorowanie wydajności, ale chcesz włączyć profilowanie wydajności i reguł. Profil wydajności zapewni statystyki dotyczące tego, jakie snortowanie preproc spędza czas.

Dodaj następujące wiersze do snortowania:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Pozwól snortowi działać przez chwilę, a po wyjściu zobaczysz pliki wyjściowe.

Więcej informacji znajduje się na stronie 107 Snort Manual
( http://www.snort.org/assets/166/snort_manual.pdf )

Suricata jest alternatywą dla Snorta i faktycznie załaduje zestawy reguł VRF i EmergingThreat. Jest wielowątkowy i najwyraźniej dużo szybszy niż Snort. Mój kolega mówi, że ma znacznie lepsze pakiety Debiana niż Snort.

Oto link do statystyk silnika, które można uzyskać w Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Statystyka wydajności składa się z 2 podstawowych elementów. Po pierwsze, moduł faktycznie liczy elementy, takie jak moduł strumienia zliczający nowe strumienie / s. Po drugie, jest modułem, który zbiera wszystkie te statystyki i udostępnia je jakoś administratorowi (dziennik, msg msg itp.).