4. 升级

4.1. 一般说明

Suricata可以通过简单地将新版本安装到与已安装版本相同的位置来升级。从源代码安装时,这意味着传递相同的 --prefix--sysconfdir--localstatedir--datadir 选项到 configure .

$ suricata --build-info|grep -A 3 '\-\-prefix'
    --prefix                                 /usr
    --sysconfdir                             /etc
    --localstatedir                          /var
    --datarootdir                            /usr/share

4.1.1. 配置更新

Suricata的新版本偶尔会包含更新的配置文件: classification.configreference.config . 由于Suricata安装不会覆盖这些文件(如果存在),因此必须手动更新它们。如果没有本地修改,它们可以简单地被Suricata供应的覆盖。

主要的更新包括新功能、新的默认设置以及经常删除的功能。

4.2. 将6.0升级到7.0

4.2.1. 重大变化

4.2.2. 移除

  • libprelude输出插件已删除。

4.2.3. 记录更改

  • IKEv2前夕日志记录已更改,EVENT_TYPE已变为 ike 。田野 errorsnotify 已经搬到 ike.ikev2.errorsike.ikev2.notify

4.2.4. 其他变化

  • 不再需要NSS。文件散列和JA3现在可以在没有NSS编译时间依赖的情况下使用。

4.2.5. 记录更改

  • 协议值及其名称内置到Suricata中,而不是使用系统的 /etc/protocols 文件。值中的某些名称和大小写可能已更改 proto 在……里面 eve.json 包含协议名称和值的日志条目和其他日志。有关详细信息,请参阅https://redmine.openinfosecfoundation.org/issues/4267。

4.3. 升级5.0到6.0

  • 默认情况下启用SIP

  • RDP现在默认启用

  • 默认情况下启用ERSPAN Type I。

4.3.1. 重大变化

  • 默认情况下启用的新协议:mqtt、rfb

  • SSH客户端的SSH客户端指纹识别

  • 条件记录

  • 初始HTTP/2支持

  • DCERPC日志记录

  • 改进了EVE日志记录性能

4.3.2. 移除

  • 文件存储v1已删除。如果使用文件提取,则需要将文件存储配置更新到版本2。看到了吗 将文件存储v1配置更新为V2 .

  • 已删除单个Eve(JSON)日志记录程序。例如, stats-jsondns-json ,等等。如果仍需要此行为,请使用多个Eve记录器实例。看到了吗 多个记录器实例 .

  • Unified2已被删除。看到了吗 已删除Unified2输出 .

4.4. 升级4.1到5.0

4.4.1. 重大变化

  • 默认情况下启用的新协议:snmp(仅限新配置)

  • 默认情况下禁用新协议:rdp、sip

  • 协议的新默认值:nfs、smb、tftp、krb5 ntp在默认情况下都已启用(仅限新配置)

  • VXLAN解码器默认启用。要禁用,请设置 decoder.vxlan.enabledfalse .

  • 默认情况下启用HTTP LZMA支持。要禁用,请设置 lzma-enabledfalse 在每个 libhtp 正在使用的配置。

  • 分类.config更新。et5.0规则集将使用这个。

  • 解码器事件计数器使用'解码器.event'作为前缀。可以使用 stats.decoder-events-prefix 设置。

4.4.2. 移除

  • dns-log ,文本dns日志。使用夏娃.dns相反。

  • file-log ,非EVE JSON文件日志。使用EVE.files文件相反。

  • drop-log ,非EVE JSON删除日志。

看到了吗https://suricata-ids.org/about/deprecation-policy/