Giám sát hiệu suất Snort

Sử dụng snort phiên bản 2.8.6, tôi đang cố gắng thu thập số liệu thống kê hiệu suất của ứng dụng, chẳng hạn như

• Số lượng gói không được xử lý do quá tải ứng dụng
• Tỷ lệ thời gian trong các lớp xử lý (tiền xử lý, lắp lại, khớp mẫu, v.v.)
• Số lượng gói được xử lý
• Vân vân

Tôi hiện đang sử dụng bộ tiền xử lý perfmonitor để kết xuất các số liệu thống kê hiệu suất và vẽ đồ thị một số giá trị này thông qua các cuộc gọi SNMP. Tài liệu về bộ tiền xử lý này khá hạn chế và không làm tốt công việc giải thích ý nghĩa thực tế của các trường hoặc khung thời gian mà các số liệu được tính toán.

Để có được những loại số liệu hiệu suất, những gì các lĩnh vực nên tôi được xem xét và làm thế nào được những lĩnh vực đo?

Ngay bây giờ bạn đã bật 'giám sát' hiệu suất, nhưng bạn muốn kích hoạt hiệu suất và quy tắc 'định hình'. Một hồ sơ hiệu suất sẽ cung cấp số liệu thống kê về những gì snort preproc dành thời gian của nó.

Thêm các dòng sau để khịt mũi:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Để snort chạy một lúc và sau đó khi bạn thoát, bạn có thể thấy các tệp đầu ra.

Để biết thêm thông tin, vui lòng xem trang 107 của Hướng dẫn Snort
( http://www.snort.org/assets/166/snort_manual.pdf )

Suricata là một thay thế cho Snort, và thực sự sẽ tải lên bộ quy tắc VRF và RecentingThreat. Nó đa luồng và nhanh hơn Snort. Đồng nghiệp của tôi nói rằng nó có các gói Debian tốt hơn nhiều so với Snort.

Đây là một liên kết đến số liệu thống kê động cơ bạn có thể nhận được từ Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistic

Có 2 thành phần cơ bản để Thống kê Hiệu suất. Đầu tiên, mô-đun thực sự đếm các mục, chẳng hạn như mô-đun luồng đếm các luồng / giây mới. Thứ hai, là một mô-đun thu thập tất cả các số liệu thống kê này và làm cho chúng có sẵn cho quản trị viên bằng cách nào đó (nhật ký, thông điệp snmp, v.v.).