Snort Performance Monitoring

11

Mit der Snort-Version 2.8.6 versuche ich, Anwendungsleistungsstatistiken wie z

  • Anzahl der Pakete , die aufgrund von Anwendungsüberlastung nicht verarbeitet wurden
  • Prozentsatz der Zeit in Verarbeitungsschichten (Präprozessor, Zusammenbau, Mustervergleich usw.)
  • Anzahl der verarbeiteten Pakete
  • etc

Ich verwende derzeit den Perfmonitor-Präprozessor, um Leistungsstatistiken zu sichern und einige dieser Werte über SNMP-Aufrufe grafisch darzustellen. Die Dokumentation zu diesem Präprozessor ist ziemlich begrenzt und kann nicht gut erklären, was die Felder tatsächlich bedeuten oder über welchen Zeitraum die Zahlen berechnet werden.

Welche Felder sollte ich betrachten, um diese Art von Leistungsmetriken zu erhalten, und wie werden diese Felder gemessen?

monitoring  snort 
Scott Pack
quelle
Sie könnten versuchen, ein Kopfgeld auf dieses zu kleben, um etwas Aufmerksamkeit zu bekommen. Ich bin mir nicht sicher, wie machbar es ist, einige der Statistiken zu erhalten, nach denen Sie suchen, aber es muss einen Weg geben, zumindest einige davon zu erhalten.
Caleb

Antworten:

3

Im Moment ist die Leistungsüberwachung aktiviert, Sie möchten jedoch die Leistungs- und Regelprofilerstellung aktivieren. Ein Leistungsprofil liefert Statistiken darüber, was Preproc Snort seine Zeit verbringt.

Fügen Sie die folgenden Zeilen hinzu, um zu schnauben:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Lassen Sie snort eine Weile laufen und dann, wenn Sie beenden, können Sie die Ausgabedateien sehen.

Weitere Informationen finden Sie auf Seite 107 des Snort-Handbuchs
( http://www.snort.org/assets/166/snort_manual.pdf ).

Blitzknoten
quelle
0

Suricata ist eine Alternative zu Snort und lädt die Regelsätze VRF und EmergingThreat. Es ist Multithreading und anscheinend viel schneller als Snort. Mein Kollege sagt, es hat viel bessere Debian-Pakete als Snort.

Hier ist ein Link zu den Motorstatistiken, die Sie von Suricata erhalten können:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Die Leistungsstatistik besteht aus zwei grundlegenden Komponenten. Erstens zählt das Modul tatsächlich Elemente, wie z. B. ein Stream-Modul, das neue Streams / Sek. Zählt. Zweitens ist ein Modul, das alle diese Statistiken sammelt und sie dem Administrator irgendwie zur Verfügung stellt (ein Protokoll, eine snmp-Nachricht usw.).

Wim Kerkhoff
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.