Suricata 用户指南

本文档适用于 Suricata 8.0.1-dev 版本。

• 1. 什么是Suricata
  • 1.1. 关于开放信息安全基金会
• 2. 快速入门指南
  • 2.1. 安装步骤
  • 2.2. 基础配置
  • 2.3. 规则管理
  • 2.4. 运行Suricata
  • 2.5. 告警测试
  • 2.6. EVE JSON输出
• 3. 安装
  • 3.1. 源码安装
  • 3.2. 二进制包安装
  • 3.3. 高级安装
• 4. 升级
  • 4.1. 通用指南
  • 4.2. 从7.0升级至8.0
  • 4.3. 从6.0升级至7.0
  • 4.4. 从5.0升级至6.0
  • 4.5. 从4.1升级至5.0
• 5. 安全注意事项
  • 5.1. 以非 Root 用户身份运行
  • 5.2. 容器化部署
• 6. 支持等级说明
  • 6.1. 一级支持
  • 6.2. 二级支持
  • 6.3. 社区支持
  • 6.4. 供应商支持
  • 6.5. 未维护状态
• 7. 支持的操作系统
  • 7.1. 一级支持
  • 7.2. 二级支持
• 8. 架构支持
  • 8.1. 一级支持
  • 8.2. 二级支持
  • 8.3. 社区支持
  • 8.4. 高级功能支持
• 9. 命令行选项
  • 9.1. 单元测试
• 10. Suricata规则
  • 10.1. 规则格式
  • 10.2. 元关键词
  • 10.3. IP 关键字
  • 10.4. TCP 关键字
  • 10.5. UDP 关键字
  • 10.6. ICMP 关键字
  • 10.7. 有效载荷关键词
  • 10.8. 整型关键字
  • 10.9. 转换操作
  • 10.10. fast_pattern
  • 10.11. prefilter
  • 10.12. 流关键字
  • 10.13. 绕过关键字
  • 10.14. HTTP 关键词
  • 10.15. 文件关键词
  • 10.16. DNS 关键词
  • 10.17. mDNS 关键词
  • 10.18. SSL/TLS 关键词
  • 10.19. SSH关键词
  • 10.20. JA3/JA4 关键词
  • 10.21. Modbus 关键词
  • 10.22. DCERPC 关键词
  • 10.23. DHCP 关键字
  • 10.24. DNP3 关键词
  • 10.25. ENIP/CIP 关键词
  • 10.26. FTP/FTP-DATA 关键词
  • 10.27. Kerberos 关键词
  • 10.28. SMB关键词
  • 10.29. SNMP 关键词
  • 10.30. Base64 关键词
  • 10.31. SIP 关键词
  • 10.32. SDP关键词
  • 10.33. RFB 关键词
  • 10.34. MQTT 关键词
  • 10.35. IKE 关键词
  • 10.36. HTTP2 关键词
  • 10.37. Quic 关键词
  • 10.38. NFS 关键词
  • 10.39. SMTP 关键词
  • 10.40. WebSocket 关键词
  • 10.41. 通用应用层关键词
  • 10.42. 通用解码层关键词
  • 10.43. Xbits 关键字
  • 10.44. 警报关键词
  • 10.45. 阈值设置关键词
  • 10.46. IP信誉度关键字
  • 10.47. IP地址匹配
  • 10.48. 配置规则
  • 10.49. 数据集
  • 10.50. Lua检测脚本
  • 10.51. 自动协议检测
  • 10.52. urilen 关键字
  • 10.53. http_uri 缓冲区
  • 10.54. http_header 缓冲区
  • 10.55. http_cookie 缓冲区
  • 10.56. 新增HTTP关键字
  • 10.57. byte_extract 关键字
  • 10.58. byte_jump 关键字
  • 10.59. byte_math 关键字
  • 10.60. byte_test 关键字
  • 10.61. isdataat 关键字
  • 10.62. 相对PCRE
  • 10.63. tls* 关键字
  • 10.64. dns_query 关键字
  • 10.65. IP信誉与 iprep 关键字
  • 10.66. Flowbits
  • 10.67. flowbits:noalert;
  • 10.68. 否定内容匹配特例
  • 10.69. 文件提取
  • 10.70. Lua脚本
  • 10.71. 快速模式
  • 10.72. 流检测限制
  • 10.73. 警报生成
  • 10.74. 缓冲区参考表
  • 10.75. 多缓冲区匹配
  • 10.76. 语法
  • 10.77. 示例
  • 10.78. 标记应用场景
  • 10.79. 主机/流追踪机制
  • 10.80. VLAN 关键词
  • 10.81. LDAP 关键词
  • 10.82. PGSQL 关键词
  • 10.83. 规则类型与分类
  • 10.84. 电子邮件关键词
• 11. 规则管理
  • 11.1. 使用 Suricata-Update 管理规则
• 12. 理解告警信息
• 13. 性能
  • 13.1. Hyperscan
  • 13.2. Tcmalloc
• 14. 配置
  • 14.1. Suricata.yaml
  • 14.2. 使用Landlock LSM
• 15. 信誉
  • 15.1. IP 信誉度
• 16. 初始化脚本
• 17. 为Linux设置IPS/内联模式
  • 17.1. 使用Netfilter设置IPS
  • 17.2. 设置第二层IPS
• 18. 为Windows设置IPS/内联模式
• 19. 输出
  • 19.1. EVE
• 20. Lua支持
  • 20.1. Suricata中的Lua使用
  • 20.2. Lua函数
  • 20.3. Lua 库
• 21. 文件提取
  • 21.1. 架构
  • 21.2. 配置参数
  • 21.3. 输出模块
  • 21.4. 规则示例
  • 21.5. 更新文件存储配置
• 22. 公开数据集
• 23. 使用捕获硬件
  • 23.1. Endace DAG
  • 23.2. Napatech
  • 23.3. Myricom
  • 23.4. eBPF 与 XDP
  • 23.5. Netmap
  • 23.6. AF_XDP
  • 23.7. DPDK
  • 23.8. PCAP文件读取
• 24. 通过Unix套接字交互
  • 24.1. 简介
  • 24.2. 标准运行模式下的命令
  • 24.3. 命令行提示符下的命令
  • 24.4. PCAP处理模式
  • 24.5. 构建自己的客户端
• 25. 插件
  • 25.1. nDPI
• 26. 防火墙模式
  • 26.1. 防火墙模式设计
  • 26.2. 防火墙规则集示例
• 27. 第三方集成
  • 27.1. 赛门铁克SSL可见性（BlueCoat）
• 28. 手册页
  • 28.1. Suricata
  • 28.2. Suricata 套接字控制工具
  • 28.3. Suricata 控制工具
  • 28.4. Suricata 文件存储控制
• 29. 致谢
• 30. 许可证
  • 30.1. GNU通用公共许可证
  • 30.2. 知识共享署名-非商业性 4.0 国际公共许可协议
  • 30.3. Suricata 源代码
  • 30.4. Suricata 文档
• 31. Suricata 开发者指南
• 32. 验证 Suricata 源码分发文件
  • 32.1. 验证步骤
• 33. 附录
  • 33.1. EVE JSON 模式
  • 33.2. EVE 索引