Моніторування продуктивності

Використовуючи snort версії 2.8.6, я намагаюся зібрати статистику продуктивності програми, наприклад

• Кількість пакетів, не оброблених через перевантаження додатків
• Відсоток часу в обробці шарів (препроцесор, повторна збірка, узгодження шаблонів тощо)
• Кількість оброблених пакетів
• тощо

Наразі я використовую препроцесор perfmonitor, щоб скинути статистику продуктивності та графікувати деякі з цих значень за допомогою викликів SNMP. Документація щодо цього препроцесора є досить обмеженою і не дає змоги пояснити, що насправді означають поля, або в який часовий період фігури обчислюються.

Для того, щоб отримати ці види метрик продуктивності, які поля повинні я дивитися і як ці поля вимірюються?

Зараз у вас увімкнено «моніторинг ефективності», але ви хочете ввімкнути продуктивність і виправити «профілювання». Профіль продуктивності надасть статистику того, на що витрачається препроцесорний фронт.

Додайте наступні рядки для фронт:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

Нехай snort працює деякий час, а потім, коли ви виходите, ви можете побачити вихідні файли.

Для отримання додаткової інформації дивіться сторінку 107 Посібника з шнорту
( http://www.snort.org/assets/166/snort_manual.pdf )

Suricata є альтернативою Snort і фактично завантажує набори правил VRF та EmergingThreat. Він багатопоточний і, мабуть, набагато швидший, ніж Снорт. Мій колега каже, що у Debian пакети набагато кращі, ніж у Snort.

Ось посилання на статистику двигуна, яку ви можете отримати від Suricata:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

У статистиці ефективності є 2 основних компоненти. По-перше, модуль фактично рахує елементи, такі як модуль потоку, що рахує нові потоки в секунду. По-друге, це модуль, який збирає всі ці статистичні дані і робить їх доступними для адміністратора якось (журнал, snmp msg тощо).