Snort Performans İzleme

11

Snort 2.8.6 sürümünü kullanarak, aşağıdaki gibi uygulama performans istatistiklerini toplamaya çalışıyorum

  • Paketlerin sayısı değil , uygulama aşırı yüklenmeden dolayı işlenmiş
  • Katmanları işlemedeki sürenin yüzdesi (önişlemci, yeniden montaj, kalıp eşleme, vb.)
  • İşlenen paket sayısı
  • vb

Şu anda performans istatistiklerini dökmek için perfmonitor önişlemcisini kullanıyorum ve bu değerlerin bazılarını SNMP çağrıları aracılığıyla grafiğe döküyorum. Bu önişlemci üzerindeki belgeler oldukça sınırlıdır ve alanların gerçekte ne anlama geldiğini veya rakamların hangi zaman diliminde hesaplandığını açıklamak için iyi bir iş çıkarmaz.

Bu tür performans metriklerini elde etmek için hangi alanlara bakmalıyım ve bu alanlar nasıl ölçülür?

monitoring  snort 
Scott Paketi
kaynak
dikkat çekmek için buna bir ödül vermeyi deneyebilirsiniz. Aradığınız istatistiklerden bazılarını elde etmenin ne kadar mümkün olduğundan emin değilim, ancak en azından bazılarını almanın bir yolu olmalı.
Caleb

Yanıtlar:

3

Şu anda performans 'izleme' özelliğini etkinleştirdiniz, ancak performansı etkinleştirmek ve 'profillemeyi' yönetmek istiyorsunuz. Bir performans profili, preproc snortunun zamanını ne kadar geçirdiği hakkında istatistikler sağlayacaktır.

Snort için aşağıdaki satırları ekleyin:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Snort'un bir süre çalışmasına izin verin ve sonra çıktığınızda çıktı dosyalarını görebilirsiniz.

Daha fazla bilgi için lütfen Snort Kılavuzunun 107. sayfasına bakınız
( http://www.snort.org/assets/166/snort_manual.pdf )

flashnode
kaynak
0

Suricata , Snort'a bir alternatiftir ve aslında VRF ve EmergingThreat kural setlerini yükleyecektir. Çok iş parçacıklı ve görünüşe göre Snort'tan çok daha hızlı. Meslektaşım, Snort'dan çok daha iyi Debian paketlerine sahip olduğunu söylüyor.

Suricata'dan alabileceğiniz motor istatistiklerine bir link:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Performans İstatistiklerinin 2 temel bileşeni vardır. Birincisi, modül aslında yeni akışları / saniyeleri sayan bir akış modülü gibi öğeleri sayar. İkincisi, tüm bu istatistikleri toplayan ve bunları bir şekilde yönetici için kullanılabilir hale getiren bir modüldür (günlük, snmp msg, vb.).

Wim Kerkhoff
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.