suricata 命令行解释【转】

suricata命令行

转载地址：http://blog.sina.com.cn/s/blog_6f8edcde0101gcha.html

suricata命令行选项说明

你能两种方式使用命令行选项，用一个横杠后面跟一个字符，或两个横杠后面跟一个单词，例如：

-a

--long-option

==========================================================================

-c这个选项是最重要的选项。在-c之后，要输入suricata.yaml文件所在的路径。

 

-i这个选项之后中，你要输入你想用来抓包的网卡名称。这个参数关联网卡使用libpcap在pacp?live模式下抓包。

 

-r在这个选项之后，你可以输入记录数据的抓包文件的路径和文件名。可以在pcap/offline模式下，在这个文件中查看包数据。

 

-s在这个选项之后，你可以设置一个说明名文件，这个文件将与yaml中设置的rules文件集一起载入使用。

 

-l在这个选项之后，你可设置一个默认的日志文件夹。如果已在yaml文件中设置了默认的日志文件夹(default-log-dir)，只有-l后的选项参数起做用。如果不使用-l选项，则使用yaml中设置的默认值。

 

-D一般情况下你使用终端窗口运行suricata，这个终端窗口会被suricata占用，你不能使用终端窗口处理其他工作，将关闭窗口时suricata也被关闭。如果你使用-D选项，使用suricata成为一个后台运行的进程，在他运行时，你可能使用终端窗口干其他的事而不会影响suricata运行。

 

--list-runmodes使用该选项将列出所有可能的运行模式。

 

--runmode该选项与-i或-r选项联合使用。用这个选项你可以设置suricate工作于你所选择的运行模式。该选项的值可以覆盖yaml文件中设置的运行模式。将于运行模式请看有关runmodes的更多信息。

 

-u该选项用于运行单元测试，测试suricata代码。

 

-U该选项用于选择能运行哪一个单元测试。这个先项可以使用正则表达式。例如：Suricata –u –U http

 

--list-unittests，该选项用于例出可用的单元测试。

 

--fatal-unittests，使用该选项，当一个单元测试失败后能立即停止，以便于立即查看错误信息。

 

PF_RING选项

为了在libpcap中能使用PF_RING-enabled，必须在suricata启动时用这个—pfring-int=switch或是it will not invoke the PF_RING enhancements in libpcap。

 

=================================================================

以下是自己学习时总结：

suricata.c中void usage(const char *progname)函数打印suricata的命令行操作格式：

USAGE: ./suricata [OPTIONS] [BPF FILTER]

 

-c           // 配置文件路径，例如:suricata.yaml存放路径

-T                  // 测试配置文件，和-c一起使用，例如：./suricata -c /home/test/suricata.yaml -T

-i      // 以pcap live模式运行

-F // bpf filter file

-r           //  run in pcap file/offline mode(应该是读包模式)

-s     // path to signature file loaded in addition to suricata.yaml settings (optional)

-S     // path to signature file loaded exclusively (optional)

-l     // 默认的log目录

-D            // daemon方式运行

-V            // 版本信息

--list-app-layer-protos   // 列出支持的应用层协议

--list-keywords[=all|csv|] // 列出执行关键字

--list-runmodes   // 列出运行模式

                 // 例如:PCAP_DEV、PCAP_FILE、PF_RING、NFQ、IPFW、ERF_FILE、ERF_DAG、AF_PACKET_DEV

--engine-analysis // 打印分析结果

--pidfile  // write pid to this file (only for daemon mode)

--init-errors-fatal //  enable fatal failure on signature init error

--dump-config     // show the running configuration

--build-info      // display build information

--pcap[=]   // run in pcap mode, no value select interfaces from suricata.yaml

--pcap-buffer-size // size of the pcap buffer value from 0 - 初始化中MAX值

--erf-in   //  process an ERF file