我正在尝试在我的网络中配置 suricata。当我将其中之一设置HOME_NET为/etc/suricata/suricata.yml：

一切正常。但是，当我尝试将多个地址池定义为：

我无法观察到任何事件/var/log/suricata/log.fast。

如何正确定义HOME_NET变量中的几个网络？

我想找到一些关于 suricata 规则的描述。

例如，规则名称：ET ATTACK_RESPONSE Cisco TclShell TFTP 读取请求

规则信息：内容：“|00 01 74 63 6C 73 68 2E 74 63 6C|”；

SID: 2009244, ... 其他。

我想知道规则的详细功能。

我找到了一些网站，但没有描述（如https://doc.emergingthreats.net/2009244）。

有什么值得称道的搜索规则描述的网站吗？

谢谢。

我经营着一个大约 500 兆位互联网连接的小型企业网络，并想引入 NIPS（网络入侵防御系统）。我已将 SNORT 或 SURICATA 确定为首选软件（也许还有我不太了解的 Zeek）。也许与 PFSense 等有关。待定。

Wifi 在业务中被大量使用，标准的 Windows LAN-cable PC 也是如此。目前我们的基本路由器/调制解调器处理一切。

当前网络拓扑：

我想在 Internet 路由器之前为这个 SNORT/SURICATA 盒子插入一个带有 2 或 4 个内核 + 4GB 内存的基本 Linux 盒子和一个基本的 1gbps 网卡。

我想确认以下是引入 NIPS 的好方法：

所需的网络拓扑：

问题：此设置是否允许 SNORT/SURICATA 框（给定默认设置/未启用任何花哨）：

1. 跟踪 WAN 流量的 LAN 源 IP 地址，包括传出和传入。即“本地计算机 LAN IP 和远程 IP”之间的 Torrent 连接 -，而不是“路由器 IP 和远程 IP”
   2. 能够登录到 SNORT/SURICATA 框（没有子网疯狂 - 至少不是超级难解决的问题）
   3. 这里有什么陷阱吗？

请注意，这适用于拥有 20 名员工而不是 300 名等的小型企业。在这种规模下，遵循所有最佳实践是不切实际的。

我不热衷于在所说的 Linux 机器上添加 WIFI 网卡。原因是，在危机中，我希望能够拔下 snort 盒子并将两个路由器连接在一起，并立即为办公室提供 Internet，以防盒子因任何原因（糟糕的 snort 规则、硬盘驱动器死机等）出现故障. 此外，路由器/调制解调器需要点击才能获得连接 - 我不需要加载 Putty，如果我不在的话，其他任何人都很难处理。

谢谢您的帮助！

几天前我发现了 Filebeat。如果我在 filebeat.yml 中硬编码主题名称，我让它直接向 Kafka 发送数据。但我似乎无法弄清楚如何根据 suricata 事件类型动态计算主题名称。我启用了 filebeat suricata 模块，并在 filebeat.yml 主题值中尝试了很多东西，例如：

但我总是在日志中收到此错误：

你怎么做呢？围绕该路由的任何示例 filebeat.yml 文件到基于 suricata 事件类型的不同主题？

根据文档https://suricata.readthedocs.io/安装和配置 Suricata 5.0.2 后。

我尝试通过添加以下内容来更改 suricata.yaml 中的一些配置：

接下来我运行 Suricata，并收到错误 Invalid entry for alert-json-log.filetype。预期为“常规”（默认）、“unix_stream”、“pcie”或“unix_dgram”

我不知道在 Suricata 上进行配置以启用将日志发送到 Kafka 主题。请帮忙。

我使用 docker-compose 启动 Evebox，但无法在 localhost:5636 上连接它。

我的 docker-compose 文件的一部分：

我无法在 localhost:5636 上连接 Evebox，但是当我用于docker exec -it 2c50f02b7385 /bin/sh进入 docker 容器时可以连接它。

我该如何解决？

我配置了 suricata.yaml 来获取 pcap 输出，我需要将它发送到 Kafka。在 suricata 文档中，没有关于发送到 kafka 的配置。如何将 pcap 输出直接发送到 kafka？kafka 可以听 suricata 输出吗？还是我必须在它们之间使用其他工具？

谢谢。

我试图让 suricata 在 fast.log 文件中的 pcap 上发出警报，而不是像文档中所说的那样在网络接口上发出警报，但我无法在 fast.log 中获得任何输出。

我的设置

• 泊坞窗图像 ubuntu：最新
• 苏里卡塔 5.0.2

• 在默认位置使用默认 suricata.yaml/etc/suricata/suricata.yaml
• 使用默认规则集

我期望发生的事情

当我在离线模式下运行 suricata 时，它使用包含恶意流量的 pcap，我应该在 fast.log 中看到输出。

我跑：

并得到：

但 fast.log 中没有输出

然而

当我在常规模式下运行 suricata 并使用相同界面的 tcpreplay 重播 pcap 时，我收到 316 个警报。

这个 316 与上面发布的离线模式输出中的一行相同，但我在 fast.log 中看不到任何内容。

这是怎么回事？

我已经成功安装了DPDK-19.11.1 LTS，如下：</p>

而我绑定的网卡如下：

如果我运行一个示例 ( dpdk/dpdk-stable-19.11.3/examples/skeleton/build/basicfwd)，该函数rte_eth_dev_count_avail()返回我绑定的端口dpdk-devbind.py。

我也在 Ubuntu 16.04 LTS 上安装了Suricata-4.1.4，但是当我运行 suricata 时，dpdk 端口总是返回 0：

所以我想知道我该如何解决这个问题？

在 Suricata 6.0.0 beta 1 中，我注意到添加了 url_decode 规则关键字。为什么在转换中支持 url_decode 而 base64_decode 以另一种方式实现？比如需要base64_decode和base64_data结合来告警？像 url_decode 一样在转换中设计 base64_decode似乎更合理。