코골이 성능 모니터링

11

snort 버전 2.8.6을 사용하여 다음과 같은 응용 프로그램 성능 통계를 수집하려고합니다.

  • 응용 프로그램 과부하로 인해 처리 되지 않은 패킷 수
  • 처리 계층의 시간 백분율 (전 처리기, 리 어셈블리, 패턴 일치 등)
  • 처리 된 패킷 수
  • 기타

현재 성능 통계를 덤프하기 위해 perfmonitor 전처리기를 사용하고 있으며 SNMP 호출을 통해 이러한 값 중 일부를 그래프로 표시합니다. 이 전 처리기의 설명서는 상당히 제한되어 있으며 실제로 필드의 의미 또는 수치 계산 시간을 설명하는 데 도움이되지 않습니다.

이러한 종류의 성능 메트릭을 얻으려면 어떤 필드 살펴보고 해당 필드를 어떻게 측정합니까?

monitoring  snort 
스캇 팩
소스
관심을 끌기 위해이 현상금을 고르려고 시도 할 수 있습니다. 찾고있는 통계 중 일부를 얻는 것이 얼마나 실현 가능한지 확실하지 않지만 적어도 일부 통계를 얻는 방법이 있어야합니다.
Caleb

답변:

3

현재 성능 '모니터링'이 활성화되었지만 성능 및 규칙 '프로파일 링'을 활성화하려고합니다. 성능 프로파일은 preproc snort가 어떤 시간을 소비하는지에 대한 통계를 제공합니다.

코 고는 다음 라인을 추가하십시오 :

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

snort를 잠시 실행 한 다음 종료하면 출력 파일을 볼 수 있습니다.

자세한 내용은 Snort 매뉴얼의 107 페이지를 참조하십시오
( http://www.snort.org/assets/166/snort_manual.pdf )

플래시 노드
소스
0

Suricata 는 Snort의 대안이며 실제로 VRF 및 EmergingThreat 규칙 세트를로드합니다. 그것은 멀티 스레드이며 분명히 Snort보다 훨씬 빠릅니다. 저의 동료는 Snort보다 데비안 패키지가 훨씬 우수하다고 말합니다.

Suricata에서 얻을 수있는 엔진 통계에 대한 링크는 다음과 같습니다.

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

성능 통계에는 2 가지 기본 구성 요소가 있습니다. 먼저, 모듈은 실제로 새로운 스트림 / 초를 계산하는 스트림 모듈과 같은 항목을 계산합니다. 둘째, 이러한 모든 통계를 수집하고 어쨌든 관리자가 사용할 수있게하는 모듈입니다 (로그, snmp msg 등).

Ker 커크 호프
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.