1、基础
Arkime安装部分参考《流量分析利器arkime的学习之路(一)—安装部署》
在此基础上安装suricata软件并配置。
2、安装suricata
yum install suricate
可能依赖的文件包括libyaml,PyYAML,这些可能在之前安装arkime或者其他软件的时候已经安装好了。
3、规则
suricata-update 可以在线更新下rules。如果是离线安装,将下载好的rules文件解压到文件夹/var/lib/suricata/下,
其中suricata.rules是默认的配置规则
4、启动命令
suricata -c /etc/suricata/suricata.yaml -i $ifname &
5、联动arkime
主要是修改arkime的配置文件,并且suricate要提前于arkime启动
修改消息权限
chmod o+r /var/log/suricata/eve.json
修改arkime配置文件
sed -i "s/dropUser=nobody/dropUser=root/g" /opt/arkime/etc/config.ini
增加插件支持
sed -i "216a plugins=suricata.so" /opt/arkime/etc/config.ini
sed -i "217a suricataAlertFile=/var/log/suricata/eve.json" /opt/arkime/etc/config.ini
sed -i "218a suricataExpireMinutes=60" /opt/arkime/etc/config.ini
重新启动arkime抓包程序
systemctl restart arkimecapture.service
可以下载报文
可以看到http交互内容
