Suricata ======== 概述 -------- **suricata** [选项] [BPF过滤器] 描述 ----------- **suricata** 是一款高性能网络入侵检测系统(IDS)、入侵防御系统(IPS)和网络安全监控引擎。作为开源项目,由非营利组织开放信息安全基金会(OISF)运营维护。 **suricata** 可用于分析实时流量和pcap文件。它能基于规则生成警报,并会产生流量日志。 在实时流量分析场景中,**suricata** 可工作于被动模式或主动模式。主动模式包括:L2网桥内联部署、与主机防火墙(L3集成)的内联部署(NFQ/IPFW/WinDivert),或通过主动响应实现带外部署。 选项 -------------- .. include:: ../partials/options.rst 开发者选项 ---------------------- .. include:: ../partials/options-unittests.rst 信号处理 ------- Suricata会响应以下信号: SIGUSR2 触发Suricata执行动态规则重载 SIGHUP 触发Suricata关闭并重新打开所有日志文件。当日志文件被轮转工具移走后,可通过该信号重新打开日志文件。 文件与目录 --------------------- |sysconfdir|/suricata/suricata.yaml Suricata配置文件的默认位置 |localstatedir|/log/suricata 默认日志存储目录 使用示例 -------- 捕获网卡`eno1`的实时流量:: suricata -i eno1 分析pcap文件并将日志输出到当前工作目录:: suricata -r /path/to/capture.pcap 使用`AF_PACKET`捕获并覆盖`suricata.yaml`中的flow.memcap设置:: suricata --af-packet --set flow.memcap=1gb 使用自定义规则文件分析pcap文件:: suricata -r /pcap/to/capture.pcap -S /path/to/custom.rules 问题反馈 ---- 请访问Suricata支持页面提交缺陷报告或功能需求。 相关资源 ----- * Suricata官网 https://suricata.io/ * Suricata支持页面 https://suricata.io/support/