我在问苏里卡塔
有没有办法写一个条件警报?
例如 - 如果请求的服务器状态为“成功”,则 HTTP GET 警报
谢谢, 埃弗拉特
问问题
263 次
2 回答
0
只要您在 suricata.yaml 文件中更新您的规则文件名,您就可以这样做。最简单的方法是:
- 使用自定义警报创建 custom.rule 文件
- 将 customer.rule 添加到规则列表中。
进行实时重新加载( Kill -USR2 )或
start :suricata -c /etc/suricata/suricata.yaml -i <interface>- 当您发送流量时,您必须能够在 fast.log 中看到警报
于 2016-12-20T04:05:42.843 回答
0
所有警报都是有条件的,因为它们是由规则中的条件触发的。
在 http 中匹配状态消息的规则类似于:
alert http any any -> any any (content:"success"; http_stat_msg; sid:12345;)
见https://redmine.openinfosecfoundation.org/projects/suricata/wiki/HTTP-keywords#http_stat_msg
于 2016-04-08T13:24:48.280 回答