Usando o snort versão 2.8.6, estou tentando coletar estatísticas de desempenho do aplicativo, como
- Número de pacotes não processados devido à sobrecarga do aplicativo
- Porcentagem de tempo nas camadas de processamento (pré-processador, remontagem, correspondência de padrões etc.)
- Número de pacotes processados
- etc
Atualmente, estou usando o pré-processador perfmonitor para despejar estatísticas de desempenho e fazendo gráficos de alguns desses valores por meio de chamadas SNMP. A documentação desse pré-processador é bastante limitada e não explica bem o que os campos realmente significam ou em que período os valores são calculados.
Para obter esses tipos de métricas de desempenho, quais campos devo observar e como esses campos são medidos?
monitoring
snort
Scott Pack
fonte
fonte
Respostas:
No momento, você tem o 'monitoramento' de desempenho ativado, mas deseja habilitar o desempenho e o 'perfil' de regras. Um perfil de desempenho fornecerá estatísticas sobre o snort pré-profissional que gasta seu tempo.
Adicione as seguintes linhas ao snort:
Deixe o snort correr por um tempo e, quando você sair, poderá ver os arquivos de saída.
Para mais informações, consulte a página 107 do Manual do Snort
( http://www.snort.org/assets/166/snort_manual.pdf )
fonte
Suricata é uma alternativa ao Snort e, na verdade, carregará os conjuntos de regras VRF e EmergingThreat. É multithread e aparentemente muito mais rápido que o Snort. Meu colega diz que possui pacotes Debian muito melhores que o Snort.
Aqui está um link para as estatísticas do mecanismo que você pode obter na Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
fonte