Centos7部署Suricata

最新推荐文章于 2024-08-03 18:49:17 发布
最新推荐文章于 2024-08-03 18:49:17 发布
阅读量1.9k 收藏 10
点赞数 2
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55593211/article/details/115631655
版权
本文详细介绍了如何在CentOS7上部署和配置Suricata网络安全分析工具,包括开启网卡混杂模式、配置端口聚合、安装依赖包、编译安装Suricata以及设置规则和日志记录。还提到了解决configure和make过程中可能遇到的错误,并提供了Suricata运行模式和日志输出的详细信息。
摘要由CSDN通过智能技术生成

Centos 7部署Suricata

Centos开启混杂模式
网卡的混杂模式,在该模式下网卡会将网络上的数据一并抓获。
[ROOT]# ifconfig eth1 promisc  设置混杂模式
[ROOT]# ifconfig eth1 -promisc 取消混杂模式

混杂模式开启后网卡会多出 “PROMISC”
在这里插入图片描述
配置端口聚合

# nmcli connection add type team con-name team0 ifname team0 config '{"runner":{"name":"activebackup"}}'

# nmcli connection modify team0 team.config '{"runner":{"name":"loadbalance"}}'  
配置loadbalance负载模式

将ens37和ens38加入team0中
# nmcli connection add type team-slave con-name team0-1 ifname ens37 master team0

# nmcli connection add type team-slave con-name team0-2 ifname ens38 master team0
Connection 'team0-2' (ce24f4cf-f76a-44e8-b593-206d4697cdc0) successfully added.

激活逻辑端口
# nmcli connection up team0-1
# nmcli connection up team0-2

———————————————————————————————————————
team有四种工作模式,分别是
"broadcast"广播容错
"roundrobin"平衡轮询
"activebackup"主备
"loadbalance"负载均衡。
在添加team模式时命令中的工作模式命令也不同,team模式的命令格式是'{"runner":{"name":"工作模式"}}',这点需要注意。
安装依赖包
安装依赖:
yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel  zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo lz4-devel
解压进入目录后构建Suricata:
解压:
tar -xvzf suricata-6.0.2.tar.gz  --- 安装包去官网下载
cd suricata-6.0.2
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
报错,提示需要安装 yum install rustc cargo报错
安装rustc cargo前需要先安装EPEL
先安装epel:
yum install -y epel-release
在安装rustc cargo:
yum install rustc cargo

构建Suricata正常后执行编译安装
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
构建正常截图

在这里插入图片描述

编译安装
执行编译安装
make  -j4
make install  -j4
ldconfig

make install-full    //安装配置文件和rules文件

在这里插入图片描述

新兴的威胁(Emerging Threats)自动下载和设置最新的规则集:(加载规则)
make install-rules

修改suricata.yaml网卡信息,vim /etc/suricata/suricata.yaml
将eth0改为自己要监听的网卡
在这里插入图片描述

您可以输入自己喜欢的接口卡,而不是ens33。

启动 :suricata -c /etc/suricata/suricata.yaml -i ens33 --init-errors-fatal
或者使用 :suricata -c /etc/suricata/suricata.yaml -i ens33 --runmode=workers -D

PS:

配置suricata.yaml目录 : /etc/suricata/suricata.yaml
规则suricata.rules目录: /var/lib/suricata/rules/suricata.rules

# suricata --list-runmodes
--list-keywords=[all|csv|<kword>]
列出所有受支持的规则关键字。

# suricata --runmodes  worker
--runmode <runmode>
使用–runmode选项,您可以设置要使用的运行模式。此命令行选项可以覆盖yaml runmode选项。

运行模式为:worker,autofp和single。

suricata日志记录哪些信息,内容以什么形式组织的?
1、eve.json
suricata所有的告警,元数据,文件信息和特定协议记录都会记录在eve.json中,事件类型 分为alert、http、dns、tls,drop
2、fast.log
3、http.log
4、dns.log
5、stats.log
6、drop.log
被丢弃的报文合集
7、log.pcap.timestamp
pcap报文
8、自定义日志输出
利用Lua脚本,只需要重写4个函数:init(),setup(),log(),deinit()
即可以自定义日志输出格式

设置端口组[80,8080],端口范围[1024:65535]以及any任意端口,还可以在配置文件中添加端口组,通过!号来进行排除
[root@localhost etc]# vim /etc/suricata/suricata.yaml
在这里插入图片描述
使用tcpdump 查看是否有流量
enp26s0f1 为网口名称
[root@centos~ ]# tcpdump -i enp26s0f1 -nne

附上参考链接:
https://paper.seebug.org/1054/#_4
https://zhuanlan.zhihu.com/p/64742715

安装报错问题:

1、执行configure命令的时候报下图错误

# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

在这里插入图片描述
排除方法:

报错是因为rustc的环境问题
# yum remove -y rustc --- 先卸载rustc
# curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
# source $HOME/.cargo/env

安装完rustc后再configure一下
# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

2、执行make命令的时候报下图错误

# make

在这里插入图片描述
排除方法:

报错是因为没有运行configure命令
运行configure命令在make即可
# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
很迷眼
关注
专栏目录
在CentOS 7上安装和使用Suricata的详细步骤
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 2161
Suricata已经安装并开始监控网络流量,检测潜在的入侵行为。你可以根据需要进行更多的配置,如日志记录、警报设置等。请参考Suricata的官方文档以获取更详细的配置和使用说明。文件,启用所需的规则集。在Suricata的配置文件中,找到并编辑。替换为要监控的网络接口,例如eth0。
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5304
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
Centos 7 部署suricata流量检测
m0_55593211的博客
05-07 2223
转载自:https://zhuanlan.zhihu.com/p/64742715 对部分安装报错的地方进行了修改,建议按照原文安装,原文有ES对接 内网搭建Suricata进行流量检测 目标机器版本:CentOS Linux release 7.6.1810 Suricata版本:suricata-6.02 Luajit版本:LuaJIT-2.0.5 PF_RING版本:PF_RING-7.8.0 Hyperscan版本:hyperscan-5.4.0 Hyperscan 第3方依赖库 依赖项
探索高效网络安全:Suricata部署优化指南
gitblog_00052的博客
06-17 345
探索高效网络安全:Suricata部署优化指南 项目地址:https://gitcode.com/al0ne/suricata_optimize 1、项目介绍 在网络安全的世界中,Suricata是一个强大的网络入侵检测系统(IDS)。它能够实时地监测和分析网络流量,识别潜在的安全威胁。这款开源工具以其高性能和可扩展性赢得了广大用户的青睐。本文将带你深入理解如何在18年的环境下,有效地部署和优化S...
Suricata安装与基本使用
最新发布
zhuge_long的专栏
08-03 487
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
CentOS7.8下安装Suricata7.0
qq_24592455的博客
06-21 1708
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。要启用默认禁用的规则,请使用 /etc/suricata/enable.conf。/var/lib/suricata:状态目录规则、数据集。/var/lib/suricata/目前是没有文件。/var/log/suricata:日志目录。/etc/suricata:配置目录。
OISF官方suricata自动测试里的部署流程(Centos7
handsometian的博客
03-09 213
安装suricata可以参考并验证
linux环境centos 7 下suricata 源码安装
村中少年的专栏
03-05 4051
suricata linux环境下安装步骤
CentOS7 和 Ubantu 18.04 安装suricata 6.0.0
qq_31507523的博客
11-21 2204
CentOS7 minimal 安装suricata 6.0.0    详情参考官方文档:https://suricata.readthedocs.io/en/suricata-6.0.0/ 文档第3章详细的安装步骤和需求,是英文,看不懂的下个翻译软件慢慢看    1、初始化 Linux 环境 因为某些产品原因,小型主机(服务器)内存极小,所以需要安装迷你版的linux。 1、首先配置好服务器网卡。 2、centos7 minimal 因为是精简版,很多东西都没有,所以先安装一些常用的工具,安装不了就用ro
Linux部署suricata
05-24
下面是在Linux部署Suricata的简单步骤: 1. 安装Suricata 在Ubuntu上执行以下命令: ``` sudo apt-get install suricata ``` 在CentOS上执行以下命令: ``` sudo yum install suricata ``` 2. 配置Suricata ...
suricata+elk+kibana+logstash安装手册.docx
08-13
这个文档详细介绍了如何在CentOS 7环境下设置一套完整的监控解决方案,包括 Suricata 作为核心的威胁检测引擎,以及 ELK(Elasticsearch, Logstash, Kibana)堆栈用于数据收集、存储和可视化。 1. **Suricata 安装*...
suricata-5.0.3源码包
07-30
Suricata能在CentOS 7上顺利编译并通过测试,意味着它与该系统的兼容性良好,适合在企业级环境中部署。 4. **Snort替代品**: Suricata被认为是Snort的现代替代品,Snort是早期非常流行的开源IDS。Suricata在性能...
Linux Centos7环境 Suricata 安装
qq_35911309的博客
09-17 2617
文章目录一、Suricata是什么?二、Suricata安装使用步骤环境安装依赖包下载解压Suricata编译安装自动安装配置文件启动测试 一、Suricata是什么? Suricata是一个高性能的网络ID、IP和网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发 官网地址:https://suricata-ids.org/ 二、Suricata安装使用步骤 环境 Suricata 4.1.8 on CentOS 7 安装依赖包.
centos suricata 安装
yrx0619的专栏
02-11 3042
安装hiredis git clone https://github.com/redis/hiredis.git cd hiredis/ make sudo make install 编译suricata 后,使用suricata –build-info显示: hiredis async with libevent: no 这是因为没有安装li...
CentOS7 安装suricata
weixin_45504433的博客
02-27 675
suricata安装 ./configure 报错: error: pcre.h not found 安装pcre-devel yum install pcre-devel ./configure最后会提示安装yum install zlib-devel 重新./configure make make install
Centos7 安装suricata6.0
qq_38601892的博客
04-03 1921
Centos7 安装 suricata6.0 Centos7 安装 rust cargo
Centos7下安装Suricata5
BoyLJS的博客
05-07 955
1. 前期环境准备 sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel PyYAM...
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1589
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
【开源】CentOS7 安装 suricata
roshy的专栏
04-25 3093
安装依赖 $ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel 下载安装包 开始下载的最新版本发现没有对应的最新规则,4.0有 下...
centos7安装suricata
09-22
要在CentOS 7上安装Suricata,首先需要确保系统可以正常访问外网。然后,您可以按照以下步骤进行操作: 1. 执行以下命令,安装Suricata的依赖项: ```shell yum install wget libpcap-devel libnet-devel pcre-devel gcc-c automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel ``` 2. 下载Suricata的源代码包。您可以从Suricata的官方网站或GitHub页面获取最新版本的源代码。 3. 解压源代码包。您可以使用以下命令: ```shell tar -xvf suricata-x.x.x.tar.gz ``` 4. 进入解压后的Suricata目录: ```shell cd suricata-x.x.x ``` 5. 执行以下命令,配置Suricata的安装路径和其他选项: ```shell ./configure --sysconfdir=/etc --localstatedir=/var --enable-unittests ``` 在这个命令中,`--sysconfdir=/etc`指定了配置文件路径为`/etc/suricata/`,`--localstatedir=/var`指定了状态数据目录为`/var`。 6. 编译并安装Suricata: ```shell make make install ``` 安装完成后,您可以在指定的路径中找到Suricata的配置文件、日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值