Monitoramento de desempenho do Snort

11

Usando a versão snort 2.8.6, estou tentando coletar estatísticas de desempenho de aplicativos, como

  • Número de pacotes não processados devido à sobrecarga de aplicativos
  • Porcentagem de tempo no processamento de camadas (pré-processador, remontagem, correspondência de padrões, etc.)
  • Número de pacotes processados
  • etc

Atualmente, estou usando o pré-processador perfmonitor para descartar estatísticas de desempenho e gráficos destes valores através de chamadas SNMP. A documentação deste pré-processador é bastante limitada e não faz um bom trabalho de explicar o que os campos realmente significam, ou que período de tempo os números são calculados.

Para obter esses tipos de métricas de desempenho, quais campos devem estar olhando e como estão campos medidos?

    
por Scott Pack 25.02.2011 / 15:31

2 respostas

3

Neste momento, você tem o 'monitoramento' de desempenho ativado, mas deseja ativar o desempenho e a 'criação de perfil' de regra. Um perfil de desempenho fornecerá estatísticas sobre o que o preproc snort gasta seu tempo.

Adicione as seguintes linhas para snort:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Deixe o snort rodar por um tempo e, quando sair, você poderá ver os arquivos de saída.

Para mais informações, consulte a página 107 do manual do Snort ( link )

    
por 20.04.2011 / 16:51
0
O

Suricata é uma alternativa ao Snort e, na verdade, carrega os conjuntos de regras VRF e EmergingThreat. É multithreaded e aparentemente muito mais rápido que o Snort. Meu colega diz que tem pacotes Debian muito melhores do que o Snort.

Aqui está um link para as estatísticas do mecanismo que você pode obter do Suricata:

link

There are 2 basic components to Performance Statistics. First, the module actually counts items, such as a stream module counting new streams/sec. Second, is a module that collects all these stats and makes them available to the admin somehow (a log, snmp msg, etc).

    
por 20.04.2011 / 07:37