Snort प्रदर्शन की निगरानी

स्नॉर्ट संस्करण 2.8.6 का उपयोग करते हुए, मैं एप्लिकेशन प्रदर्शन आँकड़े जैसे कि इकट्ठा करने का प्रयास कर रहा हूं

• अनुप्रयोग अधिभार के कारण संसाधित नहीं किए गए पैकेटों की संख्या
• परतों के प्रसंस्करण में समय का प्रतिशत (प्रीप्रोसेसर, रीससफार्म, पैटर्न मिलान, आदि)
• संसाधित किए गए पैकेट की संख्या
• आदि

मैं वर्तमान में प्रदर्शन आंकड़ों को डंप करने के लिए perfmonitor preprocessor का उपयोग कर रहा हूं, और SNMP कॉल के माध्यम से इनमें से कुछ मूल्यों को रेखांकन कर रहा हूं। इस प्रीप्रोसेसर पर प्रलेखन काफी सीमित है और यह बताने का एक अच्छा काम नहीं करता है कि वास्तव में खेतों का क्या मतलब है, या आंकड़े की समय सीमा क्या है।

उन प्रकार के प्रदर्शन मीट्रिक प्राप्त करने के लिए, मुझे किन क्षेत्रों को देखना चाहिए और उन क्षेत्रों को कैसे मापा जाता है?

अभी आपके पास प्रदर्शन 'निगरानी' सक्षम है, लेकिन आप प्रदर्शन और नियम 'प्रोफाइलिंग' को सक्षम करना चाहते हैं। एक प्रदर्शन प्रोफ़ाइल आंकड़े प्रदान करेगा कि प्रीप्रोच स्नॉर्ट अपना समय क्या खर्च करता है।

स्नॉर्ट में निम्न पंक्तियाँ जोड़ें:

config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out

कुछ समय के लिए स्नॉर्ट को चलने दें और फिर जब आप बाहर निकलें तो आउटपुट फाइल देख सकते हैं।

अधिक जानकारी के लिए कृपया Snort Manual के पृष्ठ 107
( http://www.snort.org/assets/166/snort_manual.pdf ) देखें।

सुरिकाता स्नॉर्ट का एक विकल्प है, और वास्तव में वीआरएफ और इमर्जिंग थ्रेट नियम सेट अप करेगा। यह मल्टीथ्रेडेड है और जाहिरा तौर पर बहुत तेज़ है तो स्नॉर्ट। मेरे सहकर्मी का कहना है कि इसमें बहुत बेहतर डेबियन पैकेज हैं फिर स्नॉर्ट करता है।

यहां सुरिक्टाटा से प्राप्त किए जा सकने वाले इंजन आँकड़ों की एक कड़ी है:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics

प्रदर्शन सांख्यिकी के 2 बुनियादी घटक हैं। सबसे पहले, मॉड्यूल वास्तव में आइटम को गिनता है, जैसे कि स्ट्रीम स्ट्रीम नई धारा / सेकंड की गणना करता है। दूसरा, एक मॉड्यूल है जो इन सभी आँकड़ों को एकत्र करता है और उन्हें किसी तरह व्यवस्थापक को उपलब्ध कराता है (एक लॉग, स्नैम्प मेस, आदि)।