Suricata学习笔记
1. Suricate用户手册
2. Basic Setup
sudo vim /etc/suricata/suricata.yaml
- HOME_NET
- 用于配置本地服务器的IP地址(可以是具体的某一个IP地址,也可以是一个网段)
- rule-path
- 用户可以自定义suricata将要使用的规则
- 通常我会把自己写的规则放在:/etc/suricata/rules/myrule/xxx.rules
- fast.log
- suricata自动产生的报警信息会存在这里
- 它的追加方式可以自定义:
- append: YES/NO
3. suricate常见目录
-
/var/log/suricata/:存储 suricata 日志信息
certs # core # eve.json #!!以json的数据格式来存储输出结果 fast.log #!!会记录alert相关信息 files # stats.log # suricata.log # suricata-start.log #
查看日志信息的命令:
sudo tail -f /var/log/suricata/fast.log
sudo tail -f /var/log/suricata/eve.json | jq ‘select(.event_type==“alert”)’
-
/etc/suricata/:suricate 配置文件目录
classification.config # 存放报警分类信息 reference.config # reference 规则引用信息 rules # 存放大量自带规则集目录 suricata.yaml # suricata 配置文件 threshold.config #
- suricata.yaml 为主要配置文件,包含:网络信息配置,输出信息配置,抓包配置,应用层协议配置)
- classification.config:定义了各种流量攻击类型和优先级,类似拒绝服务攻击和web应用攻击等
- reference.config:记录一些安全网站,漏洞平台的网址ÿ