9.8. 数据包分析

本指南将解释如何启用数据包分析，并将其与Ubuntu上最新的Suricata代码一起使用。这是基于假设，您已经从Git存储库安装了一次Suricata。

如果您想知道处理数据包需要多长时间，那么数据包分析很方便。这是一种了解为什么某些数据包的处理速度比其他数据包快的方法，并且这种方法是一个很好的工具，可以用来开发Suricata。

按照以下步骤更新suricata Installation from Git .从结尾开始

cd suricata/oisf
git pull

然后按照下面描述的步骤操作。要启用数据包分析，请确保在配置阶段输入以下内容：

./configure --enable-profiling

找到一个有PCAP的文件夹。如果您还没有PCAP，您可以使用Wireshark获得这些。参见 Sniffing Packets with Wireshark .

转到PCAP的目录。例如：

cd  ~/Desktop

使用ls命令，您可以看到文件夹的内容。选择文件夹和PCAP文件

例如：

cd ~/Desktop/2011-05-05

用PCAP运行Suricata：

suricata -c /etc/suricata/suricata.yaml -r log.pcap.(followed by the number/name of your pcap)

例如：

suricata -c /etc/suricata/suricata.yaml -r log.pcap.1304589204