8s yaml 配置生成_suricata安装配置

最新推荐文章于 2024-08-03 18:49:17 发布
最新推荐文章于 2024-08-03 18:49:17 发布
阅读量250 收藏 2
点赞数
文章标签: 8s yaml 配置生成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26820341/article/details/112710565
版权

1. suricata安装

ubuntu依赖安装

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev 
build-essential autoconf automake libtool libpcap-dev libnet1-dev 
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 
make libmagic-dev libjansson-dev libjansson4 pkg-config librdkafka-dev

centos依赖安装

sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel 
zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make 
libnetfilter_queue-devel lua-devel

除此之外,由于centos没有现成的librdkafka库,需要编译安装,下载0.8.6版本的librdkafka,执行以下命令安装:

tar -xzf librdkafka-0.8.6.tar.gz
cd librdkafka-0.8.6
./configure
make
sudo make install

编译

./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-rdkafka --enable-lua
make
sudo make install
sudo ldconfig
sudo make install-full    //安装配置文件和rules文件

运行

sudo suricata -i eth0  // eth0根据实际网卡名称修改

异常处理

centos下如果运行时提示找不到librdkafka.so.1,需要修改/etc/ld.so.conf文件,在下面添加一行:

/usr/local/lib

2. 配置说明

如果要支持输出hash值到kafka,同时生成http-data.log文件,需要在suricata.yaml文件中作如下配置,各配置名称根据实际情况进行修改:

# kafka producer info
  - kafka-pro:
      broker-list: 192.168.0.134:9092 # a comma separated list of brokers addresses
      topic: ceshi_test             # the topic for kafka messages
      compression: none         # compression codec: none, gzip, snappy
      partition: -1               # below < 0 means Unassigned Partition
      max-retries: 1              # number of retries if message delivery fails
      backoff-ms: 10              # ms to wait for backoff
      buffer-max-messages: 100000 # max of messages to keep in internal buffer
      log-level: 6                # sames log levels as SC_LOG_LEVEL . Debug is 7.

上面的配置只是发送到信息到kafka,发送间隔是5秒,如果想修改发送间隔,在web的设置界面可以修改配置,设置发送时间间隔。

生成http-data.log文件配置:

- http-body-data:
      enabled: yes
      type: file
      filename: http-data.log

此时的配置只是生成了http-data.log,里面存储的是16进制的html响应报文内容,如果想要同时存储文本格式的http响应报文,可以配置type为both,此时会在当前目录下生成一个http文件夹,文件夹下会生成以每次访问源/目的ip,源/目的端口组合成文件名的.data文件,文件中存储的就是每次响应报文的文本格式内容。

eve.json文件默认就会生成,可以通过修改配置文件来添加输出的字段。比如想输出Cookie字段,就可以按如下设置:

--eve-log:
  --http:
    extend: yes
    custom: [Accept-Encoding, Accept-Language, Authorization, Cookie]

规则配置

安装完成以后,默认规则文件位置在/etc/suricata/rules文件夹下,为了灵活的配置规则文件,需要在rules文件夹下添加一个4dogs.rules文件,然后把4dogs.rules添加到suricata.yaml文件中的rule-files下,后续通过web界面的设置,就可以配置该文件。

支持lua脚本配置

为了实现对同一用户多次F5刷新的判断,启用lua脚本实现流追踪功能,需要在configure时启用enable-lua功能,同时要保证系统已经安装好了lua库。

ubuntu系统:
    sudo apt-get install libreadline-dev
    sudo apt-get install liblua5.1-dev
centos系统:
    yum install lua-devel

然后编译安装,安装好以后,在配置文件suricata.yaml中启用lua脚本,如果运行时提示有些库找不到,执行sudo ldconfig即可。

- lua:
     enabled: yes
     #scripts-dir: /etc/suricata/lua-output/
     scripts:
        - packet.lua

packet.lua脚本放在/etc/suricata/lua-output/文件夹下,具体内容可根据自己需要,按照对应的格式编写。示例如下,生成名为http.log的日志文件存储在/var/log/suricata目录下。

function init (args)
    local needs = {}
    needs["protocol"] = "http"
    return needs
end

name = "http.log"
function setup (args)
    filename = SCLogPath() .. "/" .. name
    file = assert(io.open(filename, "a"))
    SCLogInfo("HTTP Log Filename " .. filename)
    http = 0
end

function log(args)

    -- 获取请求头
    http_req = HttpGetRawRequestHeaders()
    if http_req == nil then
	    http_req = "headers unknown"
    end

    -- 过滤掉css,js和图片的请求响应信息
    if string.find(http_req, "text/html") ~= nil then
        -- 获取服务器响应时的时间,使用报文时间代替,否则需要从http响应头中获取
        startts = SCPacketTimeString()
        -- print ("timestamp: " .. startts .. "n")
        -- 获取flowHash值,并且转换成字符串形式显示
        -- 新增接口,源代码中没有,需使用修改后的代码,否则报错
        hash = SCFlowHash()
        hashstr = string.format("%.0f", hash)
        -- print ("Flow Hash: " .. hashstr .. "n")
        -- 获取flowId值,并且转换成字符串形式显示
        id = SCFlowId()
        idstr = string.format("%.0f",id)
        -- print ("Flow ID: " .. idstr .. "n")
        -- 获取此次会话的五元组信息
        ipver, srcip, dstip, proto, sp, dp = SCFlowTuple()
        file:write("flow@".."[*"..hash.."*]"..srcip..":"..sp.."->"..dstip..":"..dp.."n")
        file:write("timestamp: " .. startts .. "nn")
        file:write(http_req .. "n")
        -- file:flush()

        -- 获取响应头
        http_res = HttpGetRawResponseHeaders()
        if http_res == nil then
            http_res = "response headers unkonwn"
        end
        if string.find(http_res, "text/html") ~= nil then
            file:write(http_res .. "n")
            -- file:flush()

            -- 获取响应报文
            res_body, o, e = HttpGetResponseBody()
            for k, v in ipairs(res_body) do
                file:write(v)
                -- file:flush()
            end
        end
    end
    -- 向文件写入缓冲区中的所有数据
    file:flush()
    http = http + 1
end

function deinit (args)
    SCLogInfo ("HTTP transactions logged: " .. http);
    file:close(file)
end

此时http.log中日志内容如下,分别记录了请求信息,请求时间,请求报文头,响应报文头以及响应报文信息。

CelioHsu
关注
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata yaml
chengfangang的专栏
11-29 3656
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy Suricata uses the Yaml format for configuration. The Suricata.yaml file included in the source code, is
Suricata安装与基本使用
最新发布
zhuge_long的专栏
08-03 541
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系统Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
配置篇-suricata.yaml-1
superbfly的专栏
10-18 2340
suricata版本为4.0.3 user and group 用于设置启动suricata的用户及其分组。 # Run suricata as user and group. # run-as: # user: suri # group: suri max-pending-packets 该选项设置了suricata能够同时处理的数据包的数量,最少为1,最大值取决于内存的大小,...
suricata.yaml (一款高性能的网络IDS、IPS和网络安全监控引擎)默认配置文件(图文详解)...
weixin_34072458的博客
08-09 1140
      不多说,直接上干货!       前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)     或者 基于Ubuntu14.04下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)          [root@surica...
suricata.yaml
05-18
suricata.yaml
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制...
MildLamb#Learn_SpringBoot#yaml配置与参数获取1
07-25
可以注入到我们的配置类中普通键值对存对象行内写法行内写法行内写法# 如果有champion.name则使用champion.name的值 没有则使用默认值kin
dag-factory:从YAML配置文件动态生成Apache Airflow DAG
05-13
dag-factory是一个用于从YAML配置文件动态生成 DAG的库。 安装安装dag-factory,请运行pip install dag-factory 。 它需要Python 3.6.0+和Apache Airflow 1.10+。 用法 在Airflow环境中安装dag-factory之后,有...
yaml配置文件解析-yaml
08-30
**YAML配置文件解析-YAML** YAML (YAML Ain't Markup Language) 是一种轻量级的数据序列化语言,被广泛应用于配置文件和数据交换。它具有简洁易读的特性,支持多种编程语言,如Python、Java、Ruby等。YAML的语法...
milvus的milvus.yaml 官方配置文件
11-01
这是milvus的官方的milvus.yaml配置文件。 主要是官网的地址无法wget rawgit下载。 所以搞一份方便大家。
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1844
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
CentOS7 安装suricata
weixin_45504433的博客
02-27 685
suricata安装 ./configure 报错: error: pcre.h not found 安装pcre-devel yum install pcre-devel ./configure最后会提示安装yum install zlib-devel 重新./configure make make install
在CentOS 7上安装和使用Suricata的详细步骤
秋̶᭄ꦿ攻城狮࿆ྂ
07-14 2207
Suricata已经安装并开始监控网络流量,检测潜在的入侵行为。你可以根据需要进行更多的配置,如日志记录、警报设置等。请参考Suricata的官方文档以获取更详细的配置和使用说明。文件,启用所需的规则集。在Suricata配置文件中,找到并编辑。替换为要监控的网络接口,例如eth0。
centos libyaml-devel 找不到类库
zetorli
03-27 1076
centos6下 yum install libyaml-devel  出现找不到类库 安装了epel   32位 su -c 'rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm' 64位 su -c 'rpm -Uvh http://download...
CentOS 8 装机
weixin_45653816的博客
06-21 274
CentOS 8 装机 安装软件源 安装wget yum install -y wget 配置阿里云镜像 yum install -y https://mirrors.aliyun.com/epel/epel-release-latest-8.noarch.rpm mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6178
Suricata介绍
linux RVM安装使用
有勇气的牛排博客
05-16 1487
RVM(Ruby Version Manager)是一个支持多版本Ruby的命令行程序,它有助于为开发和生产环境提供一致性可靠的Ruby版本。它能够提供最新版本的Ruby,并管理多个版本,几乎在所有操作系统上都能安装和管理 Ruby。RVM 还可以为脚本设置选定版本的Ruby环境,这样,脚本可以在不同的操作系统或电脑中共享,从而避免从不同的版本中获取不一致的结果。哈喽,大家好,我是[有勇气的牛排](全网同名)🐮🐮🐮!!。
python yaml配置文件_python读取yaml配置文件
05-31
可以使用PyYAML库来读取yaml配置文件。以下是一个示例代码: ```python import yaml # 读取yaml配置文件 with open('config.yaml', 'r') as f: config = yaml.safe_load(f) # 打印配置项 print(config['database']['host']) print(config['database']['port']) print(config['database']['username']) print(config['database']['password']) ``` 其中,`config.yaml`是yaml配置文件的文件名,`safe_load`方法可以安全地加载yaml文件并返回一个Python对象。在这个示例中,我们假设配置文件中有一个`database`配置项,其中包括`host`、`port`、`username`和`password`等子项。我们可以通过`config['database']['host']`等方式来访问这些子项的值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值