使用snort版本2.8.6,我尝试收集应用程序性能统计信息,例如
我目前正在使用perfmonitor预处理器转储性能统计信息,并通过SNMP调用绘制其中一些值的图形。该预处理器的文档非常有限,并且不能很好地解释这些字段的实际含义或计算这些数字的时间范围。
要获得这些类型的性能指标,哪些领域应该我在看和这些领域如何测量?
Answers:
现在,您已经启用了性能“监视”,但是您想要启用性能和规则“概要分析”。性能配置文件将提供有关哪些程序前监听花费时间的统计信息。
添加以下行以进行snort:
config profile_rules: print 100, sort total_ticks, filename /tmp/rules_out
config profile_preprocs: print 10, sort total_ticks, filename /tmp/preproc_out
让snort运行一段时间,然后在退出时可以看到输出文件。
有关更多信息,请参见《 Snort手册》第107页
(http://www.snort.org/assets/166/snort_manual.pdf)
Suricata是Snort的替代产品,实际上将加载VRF和EmergingThreat规则集。它是多线程的,显然比Snort快得多。我的同事说它比Snort有更好的Debian软件包。
这是您可以从Suricata获得的发动机统计信息的链接:
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Performance_Statistics
绩效统计有2个基本组成部分。首先,该模块实际上对项目进行计数,例如流模块对新流/秒进行计数。其次,是一个模块,它收集所有这些统计信息并以某种方式使它们可用于管理员(日志,snmp消息等)。