我正在使用 Suricata 开发一项功能,该功能会提醒我注意 DHCP 通知数据包中的特定供应商标识符。我已将 Suricata 配置为启用了 DHCP 日志记录,并将扩展选项设置为“是”。这可确保所有 DHCP 数据包都记录在 Suricata 的 EVE 日志中。但是,我似乎无法使用这些设置从数据包中的选项中提取供应商类标识符(选项 60)。我已经用 Wireshark 验证了这个选项确实存在于我的数据包中(下面的屏幕截图,我想要突出显示的选项),但我在 EVE 日志中没有看到该数据(下面的示例)。
{"timestamp":"2015-04-13T09:31:26.508501+0000","flow_id":1912151869407829,"pcap_cnt":77868,"event_type":"dhcp","src_ip":"192.168.0.54","src_port":68,"dest_ip":"255.255.255.255","dest_port":67,"proto":"UDP","ether":{"src_mac":"ec:f4:bb:4f:b0:96","dest_mac":"ff:ff:ff:ff:ff:ff"},"dhcp":{"type":"request","id":41767348,"client_mac":"ec:f4:bb:4f:b0:96","assigned_ip":"0.0.0.0","client_ip":"192.168.0.54","dhcp_type":"inform","client_id":"ec:f4:bb:4f:b0:96","hostname":"Dell-Dator32","params":["subnet_mask","domain","router","dns_server"]},"pcap_filename":"snort.log.1428883207"}
但是,我确实在 EVE 日志中看到了其他选项,例如客户端标识符(本质上是 MAC)和客户端主机名。这是这些选项根本没有被 Suricata 解析器解析的情况吗?我确实查看了 Suricata 源代码,似乎 Rust 解析器具有解析所有选项的逻辑。有没有人遇到过这个问题或者可以指出我正确的方向?谢谢!