Используя snort версии 2.8.6, я пытаюсь собрать такую статистику производительности приложений, как
В настоящее время я использую препроцессор perfmonitor для вывода статистики производительности и построения графиков некоторых из этих значений с помощью вызовов SNMP. Документация по этому препроцессору довольно ограничена и не очень хорошо объясняет, что на самом деле означают поля или для каких временных рамок рассчитываются цифры.
Чтобы получить такие показатели производительности, в каких полях должен Я смотрю, а как измеряются эти поля?
Прямо сейчас у вас включен «мониторинг» производительности, но вы хотите включить «профилирование» производительности и правила. Профиль производительности предоставит статистику того, на что препроцессорное snort тратит свое время.
Добавьте следующие строки в snort:
config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out
Дайте snort поработать некоторое время, а затем, когда вы выйдете, вы увидите файлы вывода.
Для получения дополнительной информации см. Стр. 107 Руководства по Snort.
(http://www.snort.org/assets/166/snort_manual.pdf)
Суриката является альтернативой Snort и фактически загружает наборы правил VRF и EmergingThreat. Он многопоточный и, очевидно, намного быстрее Snort. Мой коллега говорит, что у него гораздо лучшие пакеты Debian, чем у Snort.
Вот ссылка на статистику движка, которую вы можете получить от Suricata:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
Статистика производительности состоит из двух основных компонентов. Во-первых, модуль фактически считает элементы, такие как модуль потока, подсчитывающий новые потоки / сек. Во-вторых, это модуль, который собирает всю эту статистику и каким-то образом делает ее доступной для администратора (журнал, snmp msg и т. Д.).