Con la versión 2.8.6 de snort, intento recopilar estadísticas de rendimiento de la aplicación, como
- Número de paquetes no procesados debido a la sobrecarga de la aplicación
- Porcentaje de tiempo en capas de procesamiento (preprocesador, reensamblaje, coincidencia de patrones, etc.)
- Número de paquetes procesados
- etc.
Actualmente estoy usando el preprocesador perfmonitor para volcar las estadísticas de rendimiento y graficar algunos de estos valores a través de llamadas SNMP. La documentación de este preprocesador es bastante limitada y no hace un buen trabajo al explicar qué significan realmente los campos, o durante qué período de tiempo se calculan las cifras.
Para obtener ese tipo de métricas de rendimiento, ¿qué campos debería mirar y cómo se miden esos campos?
monitoring
snort
Scott Pack
fuente
fuente
Respuestas:
En este momento tiene habilitada la 'supervisión' del rendimiento, pero desea habilitar el rendimiento y 'perfilar' las reglas. Un perfil de rendimiento proporcionará estadísticas sobre qué preproc snort pasa su tiempo.
Agregue las siguientes líneas para resoplar:
Deje que el resoplido se ejecute por un tiempo y luego, cuando salga, podrá ver los archivos de salida.
Para obtener más información, consulte la página 107 del Manual de Snort
( http://www.snort.org/assets/166/snort_manual.pdf )
fuente
Suricata es una alternativa a Snort, y en realidad cargará los conjuntos de reglas VRF y EmergingThreat. Es multiproceso y aparentemente mucho más rápido que Snort. Mi colega dice que tiene paquetes Debian mucho mejores que los de Snort.
Aquí hay un enlace a las estadísticas del motor que puede obtener de Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
fuente