Snort Monitoraggio delle prestazioni

11

Utilizzando Snort versione 2.8.6, sto tentando di raccogliere statistiche sulle prestazioni dell'applicazione come

  • Numero di pacchetti non elaborati a causa del sovraccarico dell'applicazione
  • Percentuale del tempo nei livelli di elaborazione (preprocessore, riassemblaggio, corrispondenza dei modelli, ecc.)
  • Numero di pacchetti elaborati
  • eccetera

Attualmente sto usando il preprocessore perfmonitor per scaricare le statistiche sulle prestazioni e rappresentare graficamente alcuni di questi valori tramite chiamate SNMP. La documentazione su questo preprocessore è piuttosto limitata e non fa un buon lavoro per spiegare cosa significano effettivamente i campi o su quale intervallo di tempo vengono calcolati i dati.

Per ottenere quel tipo di metriche sul rendimento, quali campi dovrei guardare e come vengono misurati quei campi?

monitoring  snort 
Scott Pack
fonte
potresti provare a mettere una taglia su questo per attirare l'attenzione. Non sono sicuro di quanto sia fattibile ottenere alcune delle statistiche che stai cercando, ma deve esserci un modo per ottenerne almeno alcune.
Caleb,

Risposte:

3

In questo momento hai abilitato il 'monitoraggio' delle prestazioni, ma vuoi abilitare le prestazioni e regola la 'profilazione'. Un profilo delle prestazioni fornirà statistiche su ciò che lo snc preprocessore trascorre il suo tempo.

Aggiungi le seguenti righe per snort:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Lascia che Snort funzioni per un po 'e poi quando esci puoi vedere i file di output.

Per maggiori informazioni, consultare la pagina 107 del Manuale Snort
( http://www.snort.org/assets/166/snort_manual.pdf )

flashnode
fonte
0

Suricata è un'alternativa a Snort e caricherà effettivamente i set di regole VRF ed EmergingThreat. È multithread e apparentemente molto più veloce di Snort. Il mio collega dice che ha pacchetti Debian molto migliori di quelli di Snort.

Ecco un link alle statistiche del motore che puoi ottenere dalla Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Esistono 2 componenti di base per Performance Statistics. Innanzitutto, il modulo conta effettivamente gli elementi, come un modulo stream che conta nuovi flussi / sec. In secondo luogo, è un modulo che raccoglie tutte queste statistiche e le rende disponibili in qualche modo all'amministratore (un log, snmp msg, ecc.).

Wim Kerkhoff
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.