suricata 命令

suricata命令行選項說明

你能兩種方式使用命令行選項，用一個橫槓後面跟一個字符，或兩個橫槓後面跟一個單詞，例如：

-a

--long-option

==========================================================================

-c這個選項是最重要的選項。在-c之後，要輸入suricata.yaml文件所在的路徑。

-i這個選項之後中，你要輸入你想用來抓包的網卡名稱。這個參數關聯網卡使用libpcap在pacp?live模式下抓包。

-r在這個選項之後，你可以輸入記錄數據的抓包文件的路徑和文件名。可以在pcap/offline模式下，在這個文件中查看包數據。

-s在這個選項之後，你可以設置一個說明名文件，這個文件將與yaml中設置的rules文件集一起載入使用。

-l在這個選項之後，你可設置一個默認的日誌文件夾。如果已在yaml文件中設置了默認的日誌文件夾(default-log-dir)，只有-l後的選項參數起做用。如果不使用-l選項，則使用yaml中設置的默認值。

-D一般情況下你使用終端窗口運行suricata，這個終端窗口會被suricata佔用，你不能使用終端窗口處理其他工作，將關閉窗口時suricata也被關閉。如果你使用-D選項，使用suricata成爲一個後臺運行的進程，在他運行時，你可能使用終端窗口乾其他的事而不會影響suricata運行。

--list-runmodes使用該選項將列出所有可能的運行模式。

--runmode該選項與-i或-r選項聯合使用。用這個選項你可以設置suricate工作於你所選擇的運行模式。該選項的值可以覆蓋yaml文件中設置的運行模式。將於運行模式請看有關runmodes的更多信息。

-u該選項用於運行單元測試，測試suricata代碼。

-U該選項用於選擇能運行哪一個單元測試。這個先項可以使用正則表達式。例如：Suricata –u –U http

--list-unittests，該選項用於例出可用的單元測試。

--fatal-unittests，使用該選項，當一個單元測試失敗後能立即停止，以便於立即查看錯誤信息。

PF_RING選項

爲了在libpcap中能使用PF_RING-enabled，必須在suricata啓動時用這個—pfring-int=switch或是it will not invoke the PF_RING enhancements in libpcap。

=================================================================

以下是自己學習時總結：

suricata.c中void usage(const char *progname)函數打印suricata的命令行操作格式：

USAGE: ./suricata [OPTIONS] [BPF FILTER]

-c           // 配置文件路徑，例如:suricata.yaml存放路徑

-T                  // 測試配置文件，和-c一起使用，例如：./suricata -c /home/test/suricata.yaml -T

-i      // 以pcap live模式運行

-F // bpf filter file

-r           //  run in pcap file/offline mode(應該是讀包模式)

-s     // path to signature file loaded in addition to suricata.yaml settings (optional)

-S     // path to signature file loaded exclusively (optional)

-l     // 默認的log目錄

-D            // daemon方式運行

-V            // 版本信息

--list-app-layer-protos   // 列出支持的應用層協議

--list-keywords[=all|csv|] // 列出執行關鍵字

--list-runmodes   // 列出運行模式

                 // 例如:PCAP_DEV、PCAP_FILE、PF_RING、NFQ、IPFW、ERF_FILE、ERF_DAG、AF_PACKET_DEV

--engine-analysis // 打印分析結果

--pidfile  // write pid to this file (only for daemon mode)

--init-errors-fatal //  enable fatal failure on signature init error

--dump-config     // show the running configuration

--build-info      // display build information

--pcap[=]   // run in pcap mode, no value select interfaces from suricata.yaml

--pcap-buffer-size // size of the pcap buffer value from 0 - 初始化中MAX值

--erf-in   //  process an ERF file