四.Suricata命令与规则语法

一.离线流量分析

# suricata -c /etc/suricata/suricata.yaml -r x.pcap -l /var/log/suricata -v

1.离线分析可以对规则库进行测试

2.规则更新后，历史的流量可以进行分析

3.流量保存，下载到windows里用wireshare打开

# vim suricata.yaml

-pcap log:
 enable: yes
 filename: log.pcap

二.规则基础语法

1.核心语法

以下面简单规则为例：

alert http any any <> $HOME_NET 8443 (msg:"Web服务器出现404."; content:"404"; http_stat_code; sid:561001; )