|
|
|
|
公众号矩阵

Q029-Q035

作者:李晨光来源:人民邮电出版社|2019-08-26 10:20

  Q029 如何设置Suricata的运行模式?

要设置Suricata运行模式,可以编辑/etc/suricata/suricata.yaml配置文件,将其中第22行的runmode:workers改为runmode:autofp,然后保存退出。接着执行下列命令:

alienvault:~#/etc/init.d/suricata restart    //重启Suricata服务

 

可以查看所有的运行方式,该命令的部分显示如下:

在上述显示中,Custom Mode(自定义模式)的值为autofp,这代表自动流绑定负载均衡模式。在该模式下,数据流被分配给了空闲的线程。这时OSSIMSuricata设置的IDS工作模式为af-packet

 Q030 Suricata事件输出分为哪几种?如何记录匹配的信息?

Suricata事件分为fast.loghttp-logTls-logDns-logpcap-logAlert-debugAlert-preludeStatsSyslogEve-logUnified-alert输出模式。为了提高系统性能,除了Eve-logUnified-alert默认是启用状态,其他都处于禁用状态。

当匹配一条规则后,Suricata如何记录该条匹配的信息?Suricata可以在匹配一条规则后记录一条信息,该条信息包括数据包的时间戳、五元组信息、对应的签名信息等。这条信息默认存储在/var/log/suricata/eve.log文件中,主要是用来定义eve.log的配置文件。在文件/etc/suricata/suricata.yaml中找到第89114行,其配置信息如图1-27所示。

1-27  定义eve.log

 Q031 当Suricata检测到可疑数据包时,以二进制格式将其存储到什么文件?通过什么程序读取?

Suricata配置文件的第117行可以发现这个二进制文件名称为unified2.alert,它无法通过文本编辑器打开,而需要特殊程序来读取。当Suricata检测到一个可疑的数据包时便可以将整个数据包以二进制的方式存储到文件中。目前Suricata已经支持IPv4IPv6的数据包,其输出的格式可以被Barnyard2 程序读取。OSSIM系统并没有限制单个unified2.alert的大小,而是通过计划任务定期清理该文件。

 Q032 Suricata通过什么参数记录真实客户机的IP

经过多级HTTP代理服务器后的IP(记录代理服务器的IP)将会隐藏。在配置文件/etc/ suricata/suricata.yaml的第133行启用X-Forwarded-For功能,该功能选项用来记录经过多个HTTP代理服务器之后客户端真正的IP地址,而不是代理服务器的IP地址,HTTP会在头里面加入一个X-Forwarded-For字段以记录原始IP以及经过的每个代理服务器的IP。启用和禁用该功能的方法如下:

Enabled:yes/no

 

其中,yes表示启用,no表示禁用。

 Q033 若让Suricata记录所有HTTP日志,则该如何修改配置文件?

HTTP日志会记录所有的HTTP流量信息,包含HTTP请求、HOST字段、URIUniform Resource Identifier)字段和User-Agent字段。这里是普通的输出,除此之外也可以在eve-log中指定HTTP,以便输出JSON格式的内容。

修改/etc/suricata/suricata.yaml文件的第146行,修改内容如图1-28所示。

Enabled:yes

1-28  Suricata配置

通过customformat还可以自定义输出的格式。

 Q034 如何保存经Suricata检测的所有数据包?

利用/etc/suricata/suricata.yaml文件中第190行的pcap-log选项可以保存所有的数据包,保存文件的大小还可以通过limit参数进行限制,在OSSIM中该值为1 000MB,文件格式为log.pcap。这样在检测到问题数据包时就能更容易地找到之前的流量,以便对整个事件进行确认和分析。启用该功能非常消耗磁盘空间。为了节省空间,建议对存储文件的最大数量进行限制,将其控制在500以内。

 Q035 如何启用Suricata服务的Debug日志?

/etc/suricata/suricata.yaml文件的第208行改为enabled:yes即可实现。打开该选项后,Suricata 会记录每一个报警产生的详细信息,包括数据包、规则等。在生产环境中启动它并不是一个明智的行为,它会在检测流时处理和输出大量的信息,导致Suricata的性能大幅下降,建议在正式运行的OSSIM系统中关闭此项。

【责任编辑:renliping TEL:(010)68476606】

回书目      
点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

这就是5G

这就是5G

5G那些事儿
共15章 | armmay

111人订阅学习

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

369人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

753人订阅学习

读 书 +更多

Eclipse Web开发从入门到精通(实例版)

本书由浅入深、循序渐进地介绍了目前流行的基于Eclipse的优秀框架。全书共分14章,内容涵盖了Eclipse基础、ANT资源构造、数据库应用开发、W...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微