Suricata IDS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 17: | Zeile 17: | ||
* Suricata kann über einen UNIX Socket gesteuert werden | * Suricata kann über einen UNIX Socket gesteuert werden | ||
* Ein Python-Interface dafür bietet '''suricatasc''' | * Ein Python-Interface dafür bietet '''suricatasc''' | ||
| − | * '''suricatasc''' | + | * '''suricatasc -c shutdown''' |
| − | * ''' | + | * '''suricatasc -c reload-rules''' |
==check== | ==check== | ||
*tail -f /var/log/suricata/fast.log | *tail -f /var/log/suricata/fast.log | ||
Version vom 11. September 2023, 10:39 Uhr
Local Rules
- cat /etc/suricata/rules/local.rules
alert icmp any any -> any any (msg:"ICMP Test"; sid:1;) alert tcp any any -> any any (flags: S; msg: "SYN packet"; sid:2;)
Suricata starten
- Der Systemd Service ist leider verbuggt
- manchmal muss die PID File manuell gelöscht werden bevor es starten kann
- rm /var/run/suricata.pid
- Stattdessen diesen Befehl verwenden
- suricata -D --af-packet -c /etc/suricata/suricata.yml
Suricata stoppen
- Suricata kann über einen UNIX Socket gesteuert werden
- Ein Python-Interface dafür bietet suricatasc
- suricatasc -c shutdown
- suricatasc -c reload-rules
check
- tail -f /var/log/suricata/fast.log