Snort Performance Monitoring

11

Usando o snort versão 2.8.6, estou tentando coletar estatísticas de desempenho do aplicativo, como

  • Número de pacotes não processados ​​devido à sobrecarga do aplicativo
  • Porcentagem de tempo nas camadas de processamento (pré-processador, remontagem, correspondência de padrões etc.)
  • Número de pacotes processados
  • etc

Atualmente, estou usando o pré-processador perfmonitor para despejar estatísticas de desempenho e fazendo gráficos de alguns desses valores por meio de chamadas SNMP. A documentação desse pré-processador é bastante limitada e não explica bem o que os campos realmente significam ou em que período os valores são calculados.

Para obter esses tipos de métricas de desempenho, quais campos devo observar e como esses campos são medidos?

monitoring  snort 
Scott Pack
fonte
você pode tentar colocar uma recompensa nessa para obter alguma atenção. Não sei ao certo como é viável obter algumas das estatísticas que você está procurando, mas deve haver uma maneira de obter pelo menos algumas delas.
Caleb

Respostas:

3

No momento, você tem o 'monitoramento' de desempenho ativado, mas deseja habilitar o desempenho e o 'perfil' de regras. Um perfil de desempenho fornecerá estatísticas sobre o snort pré-profissional que gasta seu tempo.

Adicione as seguintes linhas ao snort:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Deixe o snort correr por um tempo e, quando você sair, poderá ver os arquivos de saída.

Para mais informações, consulte a página 107 do Manual do Snort
( http://www.snort.org/assets/166/snort_manual.pdf )

flashnode
fonte
0

Suricata é uma alternativa ao Snort e, na verdade, carregará os conjuntos de regras VRF e EmergingThreat. É multithread e aparentemente muito mais rápido que o Snort. Meu colega diz que possui pacotes Debian muito melhores que o Snort.

Aqui está um link para as estatísticas do mecanismo que você pode obter na Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Existem 2 componentes básicos nas estatísticas de desempenho. Primeiro, o módulo realmente conta itens, como um módulo de fluxo que conta novos fluxos / s. Segundo, é um módulo que coleta todas essas estatísticas e as disponibiliza para o administrador de alguma forma (um log, snmp msg etc.).

Wim Kerkhoff
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.