Анализ производительности и варианты оптимизации Suricata2Cuckoo

Каждое извлечённое Suricata тело файла занимает место в /var/log/suricata/filestore/. При высоком трафике и широком списке расширений объём растёт быстро; предусмотрите мониторинг раздела и политику очистки или ротации в рамках эксплуатации OPNsense.

Каждая новая запись в filestore порождает обращение к API Cuckoo. Очередь и время анализа зависят от мощности узла Cuckoo и числа параллельных задач; при перегрузе песочницы задержки отправки смотрите в suricata2cuckoo-events.log.

Ограничьте протоколы и маски расширений в GUI плагина только теми типами, которые реально нужны для детонации — это снижает и I/O filestore, и число задач в Cuckoo.

Следующая страница: Справочник Suricata2Cuckoo.