这个和上一个snort如出一辙,并且兼容snort的规则,有一个有的没的我就不赘述了,直接开整!
开整!
- 0x01 环境
- 0x02 配置
- 0x03 使用
0x01 环境
kali2021 && suricata
apt install suricata #安装
suricata-update #更新官方规则,如果自己想写规则,这个没用
然后就是这样
0x02 配置
配置文件在 /etc/suricata/下,ls查看 suricata.yaml
vim打开 直接跳到2145行左右 (按键:2045)
修改自己的规则文件地址和自己的规则文件名称
再跳到10行 ,往下巴拉巴拉,看一下配置项合不合适
看到这个就改一下,虽然没卵用,还是改一下放心
0x03 使用
suricata -c /etc/suricata/suricata.yaml -r pcap/4.pcap -l /etc/suricata/log -k none
如果成功应该显示
并且如果你也向我一样对log文件使用tail -f 就会出现
到这里恭喜你,成功了,可以自己编写规则测试了
