Suricata
1. 什么是Suricata
2. 快速入门指南
3. 安装
4. 升级
5. 安全注意事项
6. 支持等级说明
7. 支持的操作系统
8. 架构支持
9. 命令行选项
10. Suricata规则
11. 规则管理
12. 理解告警信息
13. 性能
14. 配置
14.1. Suricata.yaml
14.2. 使用Landlock LSM
15. 信誉
16. 初始化脚本
17. 为Linux设置IPS/内联模式
18. 为Windows设置IPS/内联模式
19. 输出
20. Lua支持
21. 文件提取
22. 公开数据集
23. 使用捕获硬件
24. 通过Unix套接字交互
25. 插件
26. 防火墙模式
27. 第三方集成
28. 手册页
29. 致谢
30. 许可证
31. Suricata 开发者指南
32. 验证 Suricata 源码分发文件
33. 附录
Suricata
14.
配置
View page source
14.
配置
¶
14.1. Suricata.yaml
14.1.1. 最大待处理数据包数
14.1.2. 运行模式
14.1.3. 默认数据包大小
14.1.4. 用户和组
14.1.5. PID 文件
14.1.6. 动作顺序
14.1.7. 数据包警报队列设置
14.1.7.1. 对引擎行为的影响
14.1.7.1.1. 数据包警报队列溢出
14.1.7.2. 丢弃和抑制的警报统计
14.1.8. 将配置拆分为多个文件
14.1.9. 事件输出
14.1.9.1. 默认日志目录
14.1.9.2. 统计
14.1.9.3. 输出
14.1.9.4. 基于行的警报日志(fast.log)
14.1.9.5. Eve(可扩展事件格式)
14.1.9.6. TLS 参数和证书日志(tls.log)
14.1.9.7. 基于行的 HTTP 请求日志(http.log)
14.1.9.8. 数据包日志(pcap-log)
14.2. 使用Landlock LSM
(说明:专业名词如suricata-yaml/snort/landlock/systemd等保留原样,文档结构保持rst语法规范,
``
强调``符号两边的空格均保留)