使用snort版本2.8.6,我试图收集应用程序性能统计信息,如
目前我正在使用perfmonitor预处理器来转储性能统计信息,并通过SNMP调用来绘制其中一些值。 关于这个预处理器的文档是相当有限的,并且不能很好地解释这些字段实际上是什么意思,或者数字计算的时间框架。
为了获得这些性能指标,我应该关注哪些领域以及如何衡量这些领域?
现在你已经启用了性能“监视”,但是你想要启用性能和规则“分析”。 一个performance档案将提供什么预处理snort花时间的统计数据。
添加以下行snort:
config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out 让snort运行一段时间,然后当你退出时,你可以看到输出文件。
欲了解更多信息,请参阅Snort手册的第107页
( http://www.snort.org/assets/166/snort_manual.pdf )
Suricata是Snort的替代品,并且实际上会加载VRF和EmergingThreat规则集。 它是multithreading的,显然比Snort快很多。 我的同事说,Snort有更好的Debian软件包。
这里有一个可以从Suricata获得的引擎统计数据的链接:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
性能统计有两个基本组件。 首先,模块实际上对项目进行计数,例如计数新的stream/秒的stream模块。 其次,它是一个收集所有这些统计信息的模块,并以某种方式将其提供给pipe理员(日志,snmp信息等)。