Monitoreo de rendimiento de Snort


11

Con la versión 2.8.6 de snort, intento recopilar estadísticas de rendimiento de la aplicación, como

  • Número de paquetes no procesados ​​debido a la sobrecarga de la aplicación
  • Porcentaje de tiempo en capas de procesamiento (preprocesador, reensamblaje, coincidencia de patrones, etc.)
  • Número de paquetes procesados
  • etc.

Actualmente estoy usando el preprocesador perfmonitor para volcar las estadísticas de rendimiento y graficar algunos de estos valores a través de llamadas SNMP. La documentación de este preprocesador es bastante limitada y no hace un buen trabajo al explicar qué significan realmente los campos, o durante qué período de tiempo se calculan las cifras.

Para obtener ese tipo de métricas de rendimiento, ¿qué campos debería mirar y cómo se miden esos campos?


podrías intentar darle una recompensa a este para llamar la atención. No estoy seguro de qué tan factible es obtener algunas de las estadísticas que está buscando, pero debe haber una manera de obtener al menos algunas de ellas.
Caleb

Respuestas:


3

En este momento tiene habilitada la 'supervisión' del rendimiento, pero desea habilitar el rendimiento y 'perfilar' las reglas. Un perfil de rendimiento proporcionará estadísticas sobre qué preproc snort pasa su tiempo.

Agregue las siguientes líneas para resoplar:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Deje que el resoplido se ejecute por un tiempo y luego, cuando salga, podrá ver los archivos de salida.

Para obtener más información, consulte la página 107 del Manual de Snort
( http://www.snort.org/assets/166/snort_manual.pdf )


0

Suricata es una alternativa a Snort, y en realidad cargará los conjuntos de reglas VRF y EmergingThreat. Es multiproceso y aparentemente mucho más rápido que Snort. Mi colega dice que tiene paquetes Debian mucho mejores que los de Snort.

Aquí hay un enlace a las estadísticas del motor que puede obtener de Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Hay 2 componentes básicos para las estadísticas de rendimiento. Primero, el módulo realmente cuenta elementos, como un módulo de flujo que cuenta nuevos flujos por segundo. En segundo lugar, es un módulo que recopila todas estas estadísticas y las pone a disposición del administrador de alguna manera (un registro, un mensaje snmp, etc.).

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.