.. _pcap_file: PCAP文件读取 =========== Suricata提供 ``pcap-file`` 捕获方法来处理PCAP文件及目录中的PCAP文件,支持离线或实时数据流模式。 配置 ---- .. code-block:: yaml pcap-file: checksum-checks: auto # buffer-size: 128 KiB # tenant-id: none # delete-when-done: false # recursive: false # continuous: false # delay: 30 # poll-interval: 5 缓冲区大小 --------- 该选项指定PCAP文件的读取缓冲区大小。缓冲区越大,Suricata单次可读取的数据量越多,尤其对于大文件能提升性能。可通过命令行选项指定大小,参见 :ref:`--pcap-file-buffer-size ` 目录相关选项 ----------- **recursive** 选项使Suricata能遍历指定目录的子目录(最大深度255),支持处理嵌套文件夹中的PCAP文件。注意该选项不能与 ``continuous`` 同时使用。命令行选项为 :ref:`--pcap-file-recursive `。 **continuous** 选项允许Suricata监控指定目录并实时处理新增文件,适用于持续生成PCAP文件的实时环境。该选项不能与 ``recursive`` 同时使用。命令行选项为 :ref:`--pcap-file-continuous `。 **delay** 选项设定发现新文件后的等待秒数(默认30秒),可避免处理尚未完全写入的文件。该选项仅在 ``continuous`` 模式下生效。 **poll-interval** 选项设置目录轮询间隔秒数(默认5秒),调整该值可平衡响应速度与资源消耗。 .. note:: ``continuous`` 与 ``recursive`` 不可同时启用。 .. note:: 递归遍历时会忽略符号链接。 其他选项 ------- **checksum-checks** - **auto**(默认):Suricata通过统计方式检测校验和卸载 - **yes**:强制校验和验证 - **no**:禁用校验和验证 - 命令行选项为 :ref:`-k ` **tenant-id** - 为支持直接选择的多租户场景指定租户ID - PCAP文件将由指定租户对应的检测引擎处理 **delete-when-done** - 设为 ``true`` 时,Suricata会在处理后删除PCAP文件 - 命令行选项为 :ref:`--pcap-file-delete ` **BPF过滤器** - Suricata支持BPF抓包过滤器,该功能同样适用于 ``pcap-file`` 捕获模式 - 通过 :ref:`-F ` 命令行选项指定BPF过滤器文件