28.2. Suricata 套接字控制工具

28.2.1. 概述

suricatasc

28.2.2. 描述

Suricata 套接字控制工具

28.2.3. 命令列表

.. 当主要发行版中的Sphinx最低版本都更新至可生成重复引用链接时,

考虑将 .. description 转换为 .. option。例如, CentOS 7上的Sphinx 1.1.3无法使用 .. option, 但Fedora 30上的Sphinx 1.8.4支持此功能。

shutdown

关闭Suricata实例。

command-list

列出可用命令。

help

获取可用命令的帮助信息。

version

打印Suricata实例的版本号。

uptime

显示Suricata的运行时长。

running-mode

显示运行模式。可能为 workersautofpsingle

capture-mode

显示抓包模式。可能为以下之一: PCAP_DEVPCAP_FILEPFRING(DISABLED)NFQNFLOGIPFWERF_FILEERF_DAGAF_PACKET_DEVNETMAP(DISABLED)UNIX_SOCKETWINDIVERT(DISABLED)

conf-get <变量>

获取指定变量的配置值。提供的变量可以是suricata.yaml中 写入的任何配置参数。

dump-counters

输出Suricata的性能计数器数据。

ruleset-reload-rules

重新加载规则集并等待完成。

reload-rules
ruleset-reload-nonblocking

重新加载规则集且不等待完成。

ruleset-reload-time

返回上次重新加载的时间。

ruleset-stats

显示已加载和失败的规则数量。

ruleset-failed-rules

显示失败规则的列表。

register-tenant-handler <id> <htype> [hargs]

注册具有指定映射关系的租户处理器。

unregister-tenant-handler <id> <htype> [hargs]

注销具有指定映射关系的租户处理器。

register-tenant <id> <文件名>

注册具有特定ID和文件名的租户。

reload-tenant <id> [文件名]

重新加载指定ID的租户。可指定租户yaml文件, 若省略则使用最初加载/上次重新加载该租户时使用的yaml文件。

reload-tenants

通过重新加载yaml文件来重新加载所有已注册的租户。

unregister-tenant <id>

注销具有特定ID的租户。

add-hostbit <IP地址> <主机位> <过期时间>

在主机IP上添加具有特定位名称和过期时间的主机位。

remove-hostbit <IP地址> <主机位>

移除指定IP地址和位名称的主机位。

list-hostbit <IP地址>

列出特定主机IP的主机位信息。

reopen-log-files

在外部日志轮转后重新打开日志文件。

memcap-set <配置项> <内存上限>

更新指定项目的内存上限值。

memcap-show <配置项>

显示指定项目的内存上限值。

memcap-list

列出所有可用的内存上限值。

28.2.4. PCAP模式命令

.. 考虑当主要发行版中的Sphinx最低版本都更新至能生成重复引用链接时,将 .. description 转换为 .. option。例如,CentOS 7搭载的Sphinx 1.1.3无法使用 .. option,但Fedora 30的Sphinx 1.8.4支持该功能。

pcap-file <文件> <目录> [租户] [持续模式] [处理完成后删除]

将pcap文件添加到Suricata中进行顺序处理。生成的日志/告警文件将存入第二个参数指定的目录。请确保提供文件及目录的绝对路径。允许在不等待处理结果的情况下批量添加多个文件。

pcap-file-continuous <文件> <目录> [租户] [处理完成后删除]

将pcap文件添加到Suricata中进行顺序处理。目录会被持续监控以捕获新添加的文件,直到触发 pcap-interrupt 命令或目录被移动/删除。

pcap-file-number

等待处理的pcap文件数量。

pcap-file-list

已排队pcap文件列表。

pcap-last-processed

末个文件处理完成的时间戳(自纪元起的毫秒数)。

pcap-interrupt

通过中断目录处理来终止当前状态。

pcap-current

当前正在处理的文件。

28.2.5. 已知问题

请访问Suricata支持页面提交错误报告或功能请求。

28.2.6. 备注