9.9. 规则分析

--------------------------------------------------------------------------
Date: 9/5/2013 -- 14:59:58
--------------------------------------------------------------------------
 Num      Rule         Gid      Rev      Ticks        %      Checks   Matches  Max Ticks   Avg Ticks   Avg Match   Avg No Match
-------- ------------ -------- -------- ------------ ------ -------- -------- ----------- ----------- ----------- --------------
1        2210021      1        3        12037        4.96   1        1        12037       12037.00    12037.00    0.00
2        2210054      1        1        107479       44.26  12       0        35805       8956.58     0.00        8956.58
3        2210053      1        1        4513         1.86   1        0        4513        4513.00     0.00        4513.00
4        2210023      1        1        3077         1.27   1        0        3077        3077.00     0.00        3077.00
5        2210008      1        1        3028         1.25   1        0        3028        3028.00     0.00        3028.00
6        2210009      1        1        2945         1.21   1        0        2945        2945.00     0.00        2945.00
7        2210055      1        1        2945         1.21   1        0        2945        2945.00     0.00        2945.00
8        2210007      1        1        2871         1.18   1        0        2871        2871.00     0.00        2871.00
9        2210005      1        1        2871         1.18   1        0        2871        2871.00     0.00        2871.00
10       2210024      1        1        2846         1.17   1        0        2846        2846.00     0.00        2846.00

各个字段的含义:

  • ticks——在这个规则上花费的总ticks,所以是所有检查的总和

  • %--单个SIG在检验总成本中的份额

  • 检查——检查签名的次数

  • 匹配——匹配的次数。由于抑制和阈值设定,这可能不会导致警报。

  • 最大滴答——单次最昂贵的检查

  • 平均刻度——每次检验的平均值,所以“刻度”/“检查”。

  • avg match—结果匹配所花费的平均刻度

  • avg no match——导致不匹配的平均刻度。

“滴答”是CPU时钟滴答:http://en.wikipedia.org/wiki/cpu_time