Используя snort версии 2.8.6, я пытаюсь собрать статистику производительности приложений, такую как
- Количество пакетов, не обработанных из-за перегрузки приложения
- Процент времени в слоях обработки (препроцессор, повторная сборка, сопоставление с образцом и т. Д.)
- Количество обработанных пакетов
- и т.д
В настоящее время я использую препроцессор perfmonitor для вывода статистики производительности и отображения некоторых из этих значений с помощью вызовов SNMP. Документация по этому препроцессору довольно ограничена и не может объяснить, что на самом деле означают поля или в какие сроки рассчитываются цифры.
Для того, чтобы получить эти виды метрик производительности, какие поля должны я смотреть и как эти поля измеряются?
monitoring
snort
Скотт Пак
источник
источник
Ответы:
Прямо сейчас у вас включен мониторинг производительности, но вы хотите включить производительность и правило профилирования. Профиль производительности предоставит статистику того, на что preproc snort тратит свое время.
Добавьте следующие строки в snort:
Пусть snort запустится некоторое время, а затем при выходе вы увидите выходные файлы.
Для получения дополнительной информации см. Стр. 107 Руководства по Snort
( http://www.snort.org/assets/166/snort_manual.pdf ).
источник
Suricata является альтернативой Snort и фактически загружает наборы правил VRF и EmergingThreat. Он многопоточный и, очевидно, намного быстрее, чем Snort. Мой коллега говорит, что пакеты Debian лучше, чем у Snort.
Вот ссылка на статистику движка, которую вы можете получить из Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
источник