การตรวจสอบประสิทธิภาพของ Snort

ใช้ snort เวอร์ชั่น 2.8.6 ฉันพยายามรวบรวมสถิติประสิทธิภาพของแอพพลิเคชั่นเช่น

• จำนวนแพ็กเก็ตที่ไม่ได้ประมวลผลเนื่องจากมีการโอเวอร์โหลดแอปพลิเคชัน
• เปอร์เซ็นต์เวลาในเลเยอร์การประมวลผล (ตัวประมวลผลล่วงหน้าการประกอบซ้ำการจับคู่รูปแบบ ฯลฯ )
• จำนวนของแพ็กเก็ตที่ประมวลผล
• ฯลฯ

ขณะนี้ฉันกำลังใช้ตัวประมวลผลล่วงหน้า perfmonitor เพื่อถ่ายโอนข้อมูลสถิติประสิทธิภาพและสร้างกราฟของค่าเหล่านี้ผ่านการโทร SNMP เอกสารในตัวประมวลผลล่วงหน้านี้ค่อนข้าง จำกัด และไม่สามารถอธิบายได้ว่าฟิลด์หมายถึงอะไรจริง ๆ หรือการคำนวณตัวเลขตามกรอบเวลา

ในการรับเมตริกประสิทธิภาพเหล่านั้นฉันควรจะดูฟิลด์ใดและฟิลด์เหล่านั้นวัดได้อย่างไร

ตอนนี้คุณมีการเปิดใช้งาน 'การตรวจสอบ' ประสิทธิภาพ แต่คุณต้องการเปิดใช้งานประสิทธิภาพและกฎ 'การทำโปรไฟล์' โปรไฟล์ประสิทธิภาพจะให้สถิติเกี่ยวกับสิ่งที่ preproc snort ใช้เวลา

เพิ่มบรรทัดต่อไปนี้เพื่อ snort:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

ปล่อยให้ snort ทำงานชั่วขณะหนึ่งแล้วเมื่อคุณออกคุณสามารถดูไฟล์ที่ส่งออกได้

สำหรับข้อมูลเพิ่มเติมโปรดดูหน้า 107 ของคู่มือ Snort
( http://www.snort.org/assets/166/snort_manual.pdf )

Suricataเป็นทางเลือกสำหรับ Snort และจริง ๆ แล้วจะโหลดชุด VRF และ EmergingThreat มันเป็นแบบมัลติเธรดและเร็วกว่า Snort มาก เพื่อนร่วมงานของฉันบอกว่ามันมีแพ็คเกจ Debian ที่ดีกว่ามากแล้ว Snort ก็ทำได้

นี่คือลิงก์ไปยังสถิติเครื่องยนต์ที่คุณสามารถรับได้จาก Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

มีองค์ประกอบพื้นฐาน 2 ประการสำหรับสถิติประสิทธิภาพ ก่อนอื่นโมดูลจะนับจำนวนรายการเช่นโมดูลสตรีมนับสตรีมใหม่ / วินาที ประการที่สองคือโมดูลที่รวบรวมสถิติเหล่านี้ทั้งหมดและทำให้ผู้ดูแลระบบสามารถใช้งานได้ (ล็อก, snmp msg, ฯลฯ )