Mit der Snort-Version 2.8.6 versuche ich, Anwendungsleistungsstatistiken wie z
- Anzahl der Pakete , die aufgrund von Anwendungsüberlastung nicht verarbeitet wurden
- Prozentsatz der Zeit in Verarbeitungsschichten (Präprozessor, Zusammenbau, Mustervergleich usw.)
- Anzahl der verarbeiteten Pakete
- etc
Ich verwende derzeit den Perfmonitor-Präprozessor, um Leistungsstatistiken zu sichern und einige dieser Werte über SNMP-Aufrufe grafisch darzustellen. Die Dokumentation zu diesem Präprozessor ist ziemlich begrenzt und kann nicht gut erklären, was die Felder tatsächlich bedeuten oder über welchen Zeitraum die Zahlen berechnet werden.
Welche Felder sollte ich betrachten, um diese Art von Leistungsmetriken zu erhalten, und wie werden diese Felder gemessen?
monitoring
snort
Scott Pack
quelle
quelle
Antworten:
Im Moment ist die Leistungsüberwachung aktiviert, Sie möchten jedoch die Leistungs- und Regelprofilerstellung aktivieren. Ein Leistungsprofil liefert Statistiken darüber, was Preproc Snort seine Zeit verbringt.
Fügen Sie die folgenden Zeilen hinzu, um zu schnauben:
Lassen Sie snort eine Weile laufen und dann, wenn Sie beenden, können Sie die Ausgabedateien sehen.
Weitere Informationen finden Sie auf Seite 107 des Snort-Handbuchs
( http://www.snort.org/assets/166/snort_manual.pdf ).
quelle
Suricata ist eine Alternative zu Snort und lädt die Regelsätze VRF und EmergingThreat. Es ist Multithreading und anscheinend viel schneller als Snort. Mein Kollege sagt, es hat viel bessere Debian-Pakete als Snort.
Hier ist ein Link zu den Motorstatistiken, die Sie von Suricata erhalten können:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
quelle