28.1. Suricata

28.1.1. 概述

suricata [选项] [BPF过滤器]

28.1.2. 描述

suricata 是一款高性能网络入侵检测系统(IDS)、入侵防御系统(IPS)和网络安全监控引擎。作为开源项目，由非营利组织开放信息安全基金会(OISF)运营维护。

suricata 可用于分析实时流量和pcap文件。它能基于规则生成警报，并会产生流量日志。

在实时流量分析场景中，suricata 可工作于被动模式或主动模式。主动模式包括：L2网桥内联部署、与主机防火墙(L3集成)的内联部署(NFQ/IPFW/WinDivert)，或通过主动响应实现带外部署。

28.1.3. 选项

28.1.4. 开发者选项

.. 开发者选项 - 单元测试

-u

运行单元测试并退出。要求Suricata配置时启用 --enable-unittests 选项。

-U, --unittest-filter=REGEX

通过 -U 选项可以选择要运行的单元测试。该选项使用正则表达式(REGEX)。使用示例: suricata -u -U http

--list-unittests

列出所有可用的单元测试。

--fatal-unittests

启用单元测试错误的致命失败处理。Suricata将在遇到错误时直接退出，而不会继续执行更多测试。

--unittests-coverage

显示单元测试覆盖率报告。

28.1.5. 信号处理

Suricata会响应以下信号：

SIGUSR2

触发Suricata执行动态规则重载

SIGHUP

触发Suricata关闭并重新打开所有日志文件。当日志文件被轮转工具移走后，可通过该信号重新打开日志文件。

28.1.6. 文件与目录

/etc/suricata/suricata.yaml

Suricata配置文件的默认位置

/var/log/suricata

默认日志存储目录

28.1.7. 使用示例

捕获网卡`eno1`的实时流量:

suricata -i eno1

分析pcap文件并将日志输出到当前工作目录:

suricata -r /path/to/capture.pcap

使用`AF_PACKET`捕获并覆盖`suricata.yaml`中的flow.memcap设置:

suricata --af-packet --set flow.memcap=1gb

使用自定义规则文件分析pcap文件:

suricata -r /pcap/to/capture.pcap -S /path/to/custom.rules

28.1.8. 问题反馈

请访问Suricata支持页面提交缺陷报告或功能需求。

28.1.9. 相关资源

• Suricata官网

  https://suricata.io/

• Suricata支持页面

  https://suricata.io/support/