Surveillance des performances Snort

11

À l'aide de snort version 2.8.6, j'essaie de collecter des statistiques de performances des applications telles que

  • Nombre de paquets non traités en raison d'une surcharge d'application
  • Pourcentage de temps dans les couches de traitement (préprocesseur, réassemblage, correspondance de motifs, etc.)
  • Nombre de paquets traités
  • etc

J'utilise actuellement le préprocesseur perfmonitor pour vider les statistiques de performances et représenter graphiquement certaines de ces valeurs via des appels SNMP. La documentation sur ce préprocesseur est assez limitée et ne permet pas d'expliquer ce que signifient réellement les champs, ni sur quelle période les chiffres sont calculés.

Pour obtenir ce type de mesures de performances, quels champs dois- je consulter et comment ces champs sont-ils mesurés?

monitoring snort Scott Pack
la source
vous pourriez essayer de coller une prime sur celui-ci pour attirer l'attention. Je ne sais pas dans quelle mesure il est possible d'obtenir certaines des statistiques que vous recherchez, mais il doit y avoir un moyen d'en obtenir au moins certaines.
Caleb

Réponses:

3

À l'heure actuelle, la surveillance des performances est activée, mais vous souhaitez activer les performances et le profilage des règles. Un profil de performances fournira des statistiques sur ce que snort préproc passe son temps.

Ajoutez les lignes suivantes pour renifler:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Laissez snort s'exécuter pendant un certain temps, puis lorsque vous quittez, vous pouvez voir les fichiers de sortie.

Pour plus d'informations, veuillez consulter la page 107 du manuel Snort
( http://www.snort.org/assets/166/snort_manual.pdf )

flashnode
la source
0

Suricata est une alternative à Snort et chargera en fait les jeux de règles VRF et EmergingThreat. Il est multithread et apparemment beaucoup plus rapide que Snort. Mon collègue dit qu'il a de bien meilleurs paquets Debian que Snort.

Voici un lien vers les statistiques du moteur que vous pouvez obtenir de Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

Les statistiques de performances comportent 2 composants de base. Premièrement, le module compte réellement les éléments, comme un module de flux comptant de nouveaux flux / s. Deuxièmement, est un module qui recueille toutes ces statistiques et les met à la disposition de l'administrateur en quelque sorte (un journal, un msg snmp, etc.).

Wim Kerkhoff
la source