系统环境
centOs7.8
安装源码包
sudo yum install epel-release yum-plugin-copr
sudo yum copr enable @oisf/suricata-7.0
sudo yum install suricata
Suricata 已预先配置为以用户身份运行。
suricata
命令行参数(例如提供接口名称)可以是 在 中配置。
/etc/sysconfig/suricata
用户可以在没有 root 权限的情况下运行,前提是他们 已添加到组中。
suricata-update
suricata
目录:
/etc/suricata
:配置目录
/var/log/suricata
:日志目录
/var/lib/suricata
:状态目录规则、数据集启动suricata
sudo systemctl start suricata
查看状态显示失败,失败内容显示没有规则文件
cat /etc/suricata/suricata.yaml
/var/lib/suricata/目前是没有文件
suricata-update更新规则
使用suricata-update更新规则 以为是默认配置所以更新后会看见规则文件
控制使用哪些规则
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。suricata-update
要启用默认禁用的规则,请使用 /etc/suricata/enable.conf
2019401 # enable signature with this sid
group:emerging-icmp.rules # enable this rulefile
re:trojan # enable all rules with this string
同样,要禁用规则,请使用 /etc/suricata/disable.conf:
2019401 # disable signature with this sid
group:emerging-info.rules # disable this rulefile
re:heartbleed # disable all rules with this string
更新这些文件后,再次重新运行:suricata-update
sudo suricata-update
最后重新启动Suricata。
(上面的我没有这两个文件,可能是需要自己创建,没试过)