问题标签 [suricata]

我在问苏里卡塔

有没有办法写一个条件警报？

例如 - 如果请求的服务器状态为“成功”，则 HTTP GET 警报

谢谢， 埃弗拉特

我正在 Windows 上设置 Suricata。我可以测试内联模式，但是当我尝试将其置于内联模式时，我可以放弃而不是警告。问题是我收到错误消息，找不到 NF 队列。我首先尝试了自动安装，但是这样似乎无法使用 Suricata 内联。

有没有人成功地将 Snort for Windows 置于内联模式，请帮助我。

我正在尝试在 Windows 的 Cygwin 上安装 Suricata，但是当我运行 ./configure 时，我收到警告 libnet 版本 1.1.x 找不到。有谁知道如何解决这个问题，因为我找不到任何解决方案。

我想将 suricata 用作 AWS VPC 流日志（离线模式）的 IDS。任何人已经实施或任何其他适合这种情况的 IDS。

提前致谢

我有一个这样的测试：

我的环境：

操作系统：Debian 8

我的网络：

我的 suricata 构建信息：

并且只加载一个测试规则：

A:172.20.0.1（网关 suricata）操作系统信息：

客户端发送请求为

跟踪 fast.log。仅匹配#no.2 规则

我尝试使用 iptables 打开 nat，例如：

而这次 #no.1 #no.2 #no.3 规则匹配

但是，打开nat，appserver没有得到正确的客户端ip

地址。

现在，我想使用 7 层协议的一些参数，如 http_uri、http_method 等。nat 必须关闭。

我要正确的方法~~谢谢！

我在 Ubuntu Xenial 16.04 LTS 上为 suricata 安装 Squert Dashboard

在安装 Squert 之前，我需要安装 Sguil (sgweel)，sguil 需要 tcl 8.3（或更高版本），我在源代码中发现 tcl 的当前版本是 8.5，所以我安装了它并运行我的安装。

但是当我运行 sguild 时，它说我不兼容 tcl 线程，

所以我搜索了一下，发现有人说我们需要在没有线程的情况下重建包。

我在 debian/rules 文件中删除了行“--enable-threads \”，但是当我想用“debuild -us -uc”命令重建包时，它说我：

用英语讲 ：

如果您有在 Ubuntu 16.x 上安装 Squert for Suricata 的想法或其他方式，我会接受。

也许我需要在 tcl 8.3 上进行安装...

我需要在 HOME_NET 前面的 suricata.yaml 文件中使用 sed 更改 IP 地址。

我可以使用以下正则表达式来管理任何 IP 地址。

问题是它会更改文件中的所有 IP 地址。我只是感兴趣的是前面的HOME_NET。

我安装并配置了 suricata 以给出错误。它给了我类似的错误

Jan 13 11:22:18 201612317 01/13/2017-11:22:18.308560 [ ] [1:2001219:20] ET SCAN 潜在 SSH 扫描 [ ] [分类：尝试的信息泄漏] [优先级：2] {TCP}

我想知道这个 [1:2001219:20] 在这个规则中是什么意思？

谁能帮我创建一个添加[ SURICATA ]到此日志文件中的脚本？

Suricate如何配置全网抓包？我已经配置了 Suricate，但它只捕获发送到 Suricata 安装主机的数据包。我希望 Suricata 捕获整个网络数据包。

我有两个不同的网络，例如数据和内部，其中 Suricata 放置在内部网络中。我已经将我的交换机配置为监控几个端口并指定到 Suricata 服务器的第二个端口，但我仍然没有看到任何变化。

可以在这个问题上提供帮助吗？