10. 配置

• 10.1. Suricata.yaml
  • 10.1.1. 最大挂起数据包数
  • 10.1.2. 运行模式
  • 10.1.3. 默认数据包大小
  • 10.1.4. 用户和组
  • 10.1.5. PID文件
  • 10.1.6. 行动令
  • 10.1.7. 在多个文件中拆分配置
  • 10.1.8. 事件输出
    • 10.1.8.1. 默认日志记录目录
    • 10.1.8.2. 统计
    • 10.1.8.3. 输出
    • 10.1.8.4. 基于行的警报日志（fast.log）
    • 10.1.8.5. EVE（可扩展事件格式）
    • 10.1.8.6. 基于行的HTTP请求日志（http.log）
    • 10.1.8.7. 数据包日志（PCAP日志）
    • 10.1.8.8. 详细警报日志（alert debug.log）
    • 10.1.8.9. 统计
    • 10.1.8.10. 系统日志
    • 10.1.8.11. 文件存储（文件提取）
  • 10.1.9. 检测引擎
    • 10.1.9.1. 检查配置
    • 10.1.9.2. 预滤器发动机
    • 10.1.9.3. 模式匹配器设置
  • 10.1.10. 穿线
    • 10.1.10.1. IDS/IPS模式的相关CPU关联设置
    • 10.1.10.2. IDS模式
    • 10.1.10.3. IPS模式
  • 10.1.11. IP碎片整理
  • 10.1.12. 流量和流量处理
    • 10.1.12.1. 流量设置
    • 10.1.12.2. 流量超时
    • 10.1.12.3. 流式发动机
  • 10.1.13. 应用层分析器
    • 10.1.13.1. ASN1_最大_帧（1.0.3和1.1中的新帧）
    • 10.1.13.2. 配置HTTP（libhtp）
  • 10.1.14. 减压-时限
    • 10.1.14.1. 配置SMB（Rust）
  • 10.1.15. 发动机记录
    • 10.1.15.1. 默认配置示例
    • 10.1.15.2. 默认日志级别
    • 10.1.15.3. 默认日志格式
    • 10.1.15.4. 输出滤波器
    • 10.1.15.5. 日志输出
  • 10.1.16. 数据包获取
    • 10.1.16.1. PF环
    • 10.1.16.2. NFQ
    • 10.1.16.3. IPFW公司
  • 10.1.17. 规则
    • 10.1.17.1. 规则文件
    • 10.1.17.2. 阈值文件
    • 10.1.17.3. 分类
    • 10.1.17.4. 规则变量
    • 10.1.17.5. 主机操作系统策略
  • 10.1.18. 发动机分析和分析
    • 10.1.18.1. 发动机分析
    • 10.1.18.2. 规则和数据包分析设置
    • 10.1.18.3. 数据包分析
  • 10.1.19. 应用程序层
    • 10.1.19.1. SSL/TLS
      • 10.1.19.1.1. 加密流量
    • 10.1.19.2. Modbus协议
    • 10.1.19.3. MQTT
    • 10.1.19.4. SMTP
  • 10.1.20. 解码器
    • 10.1.20.1. 特雷多
  • 10.1.21. 高级选项
    • 10.1.21.1. 鲁阿吉特
      • 10.1.21.1.1. 状态
• 10.2. 全局阈值
  • 10.2.1. 阈值配置
    • 10.2.1.1. threshold/event_filter
    • 10.2.1.2. rate_filter
      • 10.2.1.2.1. gen_id
      • 10.2.1.2.2. sig_id
      • 10.2.1.2.3. 轨道
      • 10.2.1.2.4. 计数
      • 10.2.1.2.5. 秒
      • 10.2.1.2.6. new_action
      • 10.2.1.2.7. 超时
      • 10.2.1.2.8. 例子
    • 10.2.1.3. 抑制
  • 10.2.2. 全局阈值与规则阈值
    • 10.2.2.1. 抑制
    • 10.2.2.2. Threshold/event_filter
    • 10.2.2.3. Rate_filter
• 10.3. snort.conf到suricata.yaml
  • 10.3.1. 变量
  • 10.3.2. 解码器警报
  • 10.3.3. 校验和处理
  • 10.3.4. 各种配置
    • 10.3.4.1. 主动响应
    • 10.3.4.2. 删除权限
    • 10.3.4.3. 斯内普伦
    • 10.3.4.4. 双酚F
  • 10.3.5. 日志目录
  • 10.3.6. 数据包获取
  • 10.3.7. 规则
• 10.4. 多租户
  • 10.4.1. 介绍
  • 10.4.2. YAML
    • 10.4.2.1. 弗拉尼德
    • 10.4.2.2. 装置
  • 10.4.3. 每个租户设置
  • 10.4.4. Unix套接字
    • 10.4.4.1. 登记处
    • 10.4.4.2. Unix套接字运行模式（PCAP处理）
    • 10.4.4.3. 实时交通模式
    • 10.4.4.4. 登记处
  • 10.4.5. EVE JSON输出
• 10.5. 启动后删除权限