Suricata IDS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 8: | Zeile 8: | ||
==Suricata starten== | ==Suricata starten== | ||
* Der Systemd Service ist leider verbuggt | * Der Systemd Service ist leider verbuggt | ||
| + | * manchmal muss die PID File manuell gelöscht werden bevor es starten kann | ||
| + | * '''rm /var/run/suricata.pid''' | ||
* Stattdessen diesen Befehl verwenden | * Stattdessen diesen Befehl verwenden | ||
* '''suricata -D --af-packet -c /etc/suricata/suricata.yml''' | * '''suricata -D --af-packet -c /etc/suricata/suricata.yml''' | ||
| − | |||
| − | |||
== Suricata stoppen == | == Suricata stoppen == | ||
Version vom 8. August 2023, 23:14 Uhr
Local Rules
- cat /etc/suricata/rules/local.rules
alert icmp any any -> any any (msg:"ICMP Test"; sid:1000000002;) alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:100000003;)
Suricata starten
- Der Systemd Service ist leider verbuggt
- manchmal muss die PID File manuell gelöscht werden bevor es starten kann
- rm /var/run/suricata.pid
- Stattdessen diesen Befehl verwenden
- suricata -D --af-packet -c /etc/suricata/suricata.yml
Suricata stoppen
- Suricata kann über einen UNIX Socket gesteuert werden
- Ein Python-Interface dafür bietet suricatasc
- suricatasc
- shutdown
check
- tail -f /var/log/suricata/fast.log