.. _pcap_file:

23.8. PCAP文件读取

Suricata提供 pcap-file 捕获方法来处理PCAP文件及目录中的PCAP文件,支持离线或实时数据流模式。

23.8.1. 配置

pcap-file:
  checksum-checks: auto
  # buffer-size: 128 KiB
  # tenant-id: none
  # delete-when-done: false
  # recursive: false
  # continuous: false
  # delay: 30
  # poll-interval: 5

23.8.2. 缓冲区大小

该选项指定PCAP文件的读取缓冲区大小。缓冲区越大,Suricata单次可读取的数据量越多,尤其对于大文件能提升性能。可通过命令行选项指定大小,参见 --pcap-file-buffer-size

23.8.3. 目录相关选项

recursive 选项使Suricata能遍历指定目录的子目录(最大深度255),支持处理嵌套文件夹中的PCAP文件。注意该选项不能与 continuous 同时使用。命令行选项为 --pcap-file-recursive

continuous 选项允许Suricata监控指定目录并实时处理新增文件,适用于持续生成PCAP文件的实时环境。该选项不能与 recursive 同时使用。命令行选项为 --pcap-file-continuous

delay 选项设定发现新文件后的等待秒数(默认30秒),可避免处理尚未完全写入的文件。该选项仅在 continuous 模式下生效。

poll-interval 选项设置目录轮询间隔秒数(默认5秒),调整该值可平衡响应速度与资源消耗。

Note

continuousrecursive 不可同时启用。

Note

递归遍历时会忽略符号链接。

23.8.4. 其他选项

checksum-checks

  • **auto**(默认):Suricata通过统计方式检测校验和卸载

  • yes:强制校验和验证

  • no:禁用校验和验证

  • 命令行选项为 -k

tenant-id

  • 为支持直接选择的多租户场景指定租户ID

  • PCAP文件将由指定租户对应的检测引擎处理

delete-when-done

  • 设为 true 时,Suricata会在处理后删除PCAP文件

  • 命令行选项为 --pcap-file-delete

BPF过滤器

  • Suricata支持BPF抓包过滤器,该功能同样适用于 pcap-file 捕获模式

  • 通过 -F 命令行选项指定BPF过滤器文件