Snortパフォーマンスモニタリング

11

snortバージョン2.8.6を使用して、次のようなアプリケーションのパフォーマンス統計を収集しようとしています。

  • アプリケーションの過負荷が原因で処理されなかったパケットの数
  • レイヤーの処理(プリプロセッサ、再アセンブリ、パターンマッチングなど)の時間の割合
  • 処理されたパケットの数

現在、パフォーマンス統計をダンプするためにperfmonitorプリプロセッサを使用しており、SNMP呼び出しを介してこれらの値の一部をグラフ化しています。このプリプロセッサに関するドキュメントはかなり制限されており、フィールドが実際に何を意味するのか、数字がどの時間枠で計算されるのかを説明するのに適していません。

これらの種類のパフォーマンスメトリックを取得するには、どのフィールドを確認する必要があり、それらのフィールドはどのように測定されますか?

monitoring  snort 
スコットパック
ソース
注目を集めるには、この1つに賞金をかけることをお勧めします。あなたが探している統計のいくつかを取得することがどれほど実現可能かはわかりませんが、少なくともそれらのいくつかを取得する方法が必要です。
カレブ

回答:

3

現在、パフォーマンスの「監視」を有効にしていますが、パフォーマンスとルールの「プロファイリング」を有効にします。パフォーマンスプロファイルは、preproc snortが時間を費やした統計を提供します。

次の行をsnortに追加します。

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

snortをしばらく実行してから終了すると、出力ファイルが表示されます。

詳細については、Snortマニュアルのページ107を参照してください
http://www.snort.org/assets/166/snort_manual.pdf

フラッシュノード
ソース
0

SuricataはSnortの代替であり、実際にはVRFおよびEmergingThreatルールセットをロードします。マルチスレッドであり、明らかにSnortよりもはるかに高速です。私の同僚は、Snortよりもはるかに優れたDebianパッケージを持っていると言います。

Suricataから取得できるエンジン統計へのリンクは次のとおりです。

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

パフォーマンス統計には2つの基本的なコンポーネントがあります。最初に、新しいストリーム/秒をカウントするストリームモジュールなど、モジュールは実際にアイテムをカウントします。第二に、これらのすべての統計を収集し、何らかの方法で管理者が利用できるようにするモジュールです(ログ、SNMPメッセージなど)。

ウィム・ケルホフ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.