6.36. 配置规则

配置规则是在匹配时将更改流、事务、数据包或其他单元的Suricata配置的规则。

例子::

config dns any any -> any any (dns.query; content:"suricata"; config: logging disable, type tx, scope tx; sid:1;)

此示例将检测DNS查询是否包含字符串 suricata 如果是,则禁用DNS事务记录。这意味着 eve.json 不会为该DNS事务生成/触发记录,也不会触发Lua输出。

6.36.1. 关键字

这个 config 规则关键字提供更改的设置和范围。

语法::

config:<subsys> <action>, type <type>, scope <scope>;

subsys 可以设置为:

  • logging 设置会影响日志记录。

type 可以设置为:

  • tx 的子类型 subsys 。如果 subsys 设置为 logging ,设置 typetx 表示事务日志记录受到影响。

scope 可以设置为:

  • tx 设置会影响匹配的事务。

这个 action 在……里面 <subsys> 目前仅限于 disable

6.36.2. 行动

配置规则可以(但不必)使用 config 规则操作。这个 config 当规则匹配时,规则操作不会生成警报,但仍将应用规则操作。它相当于 alert ... (noalert; ...)