参考: 7. Rule Management — Suricata 7.0.0-dev documentation
安装PyYAML
用以安装suricata-update
$ cd /tmp/soft
$ wget http://pyyaml.org/download/pyyaml/PyYAML-5.3.1.tar.gz
$ tar -xvf PyYAML-5.3.1.tar.gz
$ cd PyYAML-5.3.1
$ python setup.py install
安装suricata-update
$ pip install --pre --upgrade suricata-update
更新Suricata规则库
$ suricata-update
--no-merge不要将规则合并到单个规则文件中。
发现其他可用的规则库
更新规则源
$ suricata-update update-sources
列出更新源列表
$ suricata-update list-sources
启用et/open的规则集
$ suricata-update enable-source et/open
再次更新我们的规则集
$ suricata-update
列出我们使用的规则源
$ suricata-update list-enabled-sources
et/open 已启用
关闭某个规则源
$ suricata-update disable-source et/pro
删除某个规则源
$ suricata-update remove-source et/pro
suricata-update管理规则,这个在编译服务器中,程序中会默认将多个规则集的每一条都写到/var/lib/suricata/rules/suricata.rules文件中,Suricata-update有个 --no-merge参数,使用这个参数更新规则,规则不会进行合并,是以独立的文件存在于文件夹下。但是在管理规则的时候很不方便,必须要自己管理Suricata引入的规则。
已经将此文件拷贝到了采集服务器中/opt/Suricata/rules中,我们要在suricata的配置文件suricata.yaml中配置suricata的规则指定使用suricata.rules,
也可以自定规则文件,并在suricata.yaml 配置文件中添加自定的规则文件
TIPS:更新完规则后,suricata不需要重新启动来载入新的规则,使用命令 ps -ef | grep suricata查看suricata的pid,通过kill命令发送usr2信号来重新加载suricata规则 kill -USR2 pid
凡是过往,即为序章