Snort性能监测

Question

使用SnortVersion2.8.6，我试图收集应用程序的性能统计数据，例如

• 由于应用程序过载而未处理的数据包数
• 处理层(预处理、重组、模式匹配等)的时间百分比
• 处理的数据包数
• 等

目前，我正在使用perfmonitor预处理器转储性能状态，并通过SNMP调用绘制其中的一些值。这个预处理器上的文档是相当有限的，并且没有很好地解释字段的实际含义，或者计算数字的时间框架。

要获得这些性能指标，我应该查看哪些字段，以及如何度量这些字段？

Answer 1

现在，您已经启用了性能‘监视’，但您希望启用性能和规则‘分析’。性能概要文件将提供关于预preproc花费时间的统计信息。

在snort中添加以下行：

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

让snort运行一段时间，然后当您退出时，您可以看到输出文件。

欲了解更多信息，请参见Snort手册第107页

(http://www.snort.org/assets/166/snort_manual.pdf)

Answer 2

素丽卡是Snort的另一种选择，它将实际加载VRF和EmergingThreat规则集。它是多线程的，显然比Snort快得多。我的同事说它有比Snort更好的Debian包。

以下是从Suricata获得的引擎统计信息的链接：

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_统计数据

性能统计有两个基本组件。首先，该模块实际上对项进行计数，例如计算新流/秒的流模块。其次，是一个模块，它收集所有这些统计数据，并以某种方式将它们提供给管理员(日志、snmp等)。