Hi,
Mi használtuk az előző cégemnél élesben és nagyon jó volt... Az egyik customernél kellett beüzemelni bizonyos események alatt. Volt egy másik cég is Cisco IDS később IPS-el. Összehasonlítva a kettőt, olyan dolog nem volt amit mi nem láttunk volna de sok olyan dolog volt amit meg a Cisco nem látott/nem riasztott rá (ez nyilván konfigurálás+rule-ok kérdése).
Nekünk akkoriban egyetlen bajunk volt vele és az az volt, hogy csak 1 core-t/procit hasznalt a feldolgozáshoz (az új verzió már több thread-es).
A sebességproblémára találtunk megoldást. A lényeg, hogy a monitorozó hosztok csak gyűjtötték az alerteket egy plain file-ba, amit időközönként a barnyard nevezetű szoftverrel töltöttünk bele adatbázisba ahonnal saját fejlesztésű szoftverrel nézegedtük, tedtük bele a report-okba az egyes alerteket...
Valóban sokáig tart amíg kikapcsolod azokat a rule-okat amik neked nem kellenek, de véleményem szerint szinte mindent meg lehet vele csinálni köszönhetően a flexibilis rule language-nek...