<suricata编译安装>

原文:http://blog.csdn.net/wsk004321/article/details/25594265

想到研究suricata只读源码估计还不凑效，需要了解下真实环境下怎么应用，这样理解起来估计会更有感觉，于是在自己本地虚拟机中安装编译一下：

1、虚拟机操作系统Linux centos5.0

2、下载suricata源码

    http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz

   下载yaml库，主要用于配置文件操作

     http://pyyaml.org/download/libyaml/yaml-0.1.4.tar.gz

   由于自己本机原来安装配置过snort，所以suricata+yaml库已经可以正常运行。

   否则需要安装：libdnet-1.12.tgz、libpcap-1.1.1.tar.gz、pcre-8.32.tar.gz等库。

3、安装yaml库

   解压:tar -zxvf yaml-0.1.4.tar.gz到特定目录

   ./configure

   make

   make install

   

4、安装suricata

   解码：tar -zxvf suricata-1.4.7.tar.gz 到特定目录

   ./configure

   make 

   make install

5、以上完成编译安装，接下来需要更改配置

   suricata默认安装路径：/usr/local/bin

   创建默认配置目录：mkdir -p /usr/local/etc/suricata

   拷贝配置文件：cp 源码目录中 suricata.yaml /usr/local/etc/suricata

                 cp 源码目录中 reference.config /usr/local/etc/suricata

                 cp 源码目录中 classification.config /usr/local/etc/suricata

                 cp 源码目录中 threshold.config /usr/local/etc/suricata

   创建默认日志目录：mkdir -p /usr/local/var/log/suricata

6、下载规则库

   http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

   解压到/usr/local/etc/suricata目录下

  

7、默认启动：./suricata -i eth0 （eth0需要根据本地网卡配置）

   这时suricata正常启动，如下图所示：

当只执行./suricata时显示如下：