Endace DAG ========== Suricata 提供对 Endace DAG 卡的原生支持。这意味着 Suricata 可以直接使用 *libdag* 接口,而无需通过 libpcap 封装层(该方式同样可用)。 操作步骤: 配置启用 DAG 支持: :: ./configure --enable-dag --prefix=/usr --sysconfdir=/etc --localstatedir=/var make sudo make install 配置结果示例如下: :: Suricata 配置: AF_PACKET 支持: 否 PF_RING 支持: 否 NFQueue 支持: 否 IPFW 支持: 否 DAG 启用: 是 Napatech 启用: 否 启动命令: :: suricata -c suricata.yaml --dag 0:0 成功启动输出示例: :: [5570] 2012/10/7 -- 13:52:30 - (source-erf-dag.c:262) <信息> (ReceiveErfDagThreadInit) -- 已挂载并启动流: 0 位于 DAG: /dev/dag0 [5570] 2012/10/7 -- 13:52:30 - (source-erf-dag.c:288) <信息> (ReceiveErfDagThreadInit) -- 开始处理来自流: 0 的数据包 位于 DAG: /dev/dag0