6.36. 配置规则¶
配置规则是在匹配时将更改流、事务、数据包或其他单元的Suricata配置的规则。
例子::
config dns any any -> any any (dns.query; content:"suricata"; config: logging disable, type tx, scope tx; sid:1;)
此示例将检测DNS查询是否包含字符串 suricata 如果是,则禁用DNS事务记录。这意味着 eve.json 不会为该DNS事务生成/触发记录,也不会触发Lua输出。
6.36.1. 关键字¶
这个 config 规则关键字提供更改的设置和范围。
语法::
config:<subsys> <action>, type <type>, scope <scope>;
subsys 可以设置为:
logging 设置会影响日志记录。
type 可以设置为:
tx 的子类型 subsys 。如果 subsys 设置为 logging ,设置 type 至 tx 表示事务日志记录受到影响。
scope 可以设置为:
tx 设置会影响匹配的事务。
这个 action 在……里面 <subsys> 目前仅限于 disable 。
6.36.2. 行动¶
配置规则可以(但不必)使用 config 规则操作。这个 config 当规则匹配时,规则操作不会生成警报,但仍将应用规则操作。它相当于 alert ... (noalert; ...) 。