是否可以使用 Suricata 7.0.2 生成和记录 SMTP 流量的输出警报？[关闭]

问：

我在 Linux Ubuntu 20.04 虚拟机上安装了 Suricata 7.0.2 IDS。在我的虚拟环境中，我有两个虚拟网络。在第一个网络中，我有一个邮件用户代理（攻击者），它向本地 Postfix 邮件服务器（攻击者-mailServer，IP 地址 10.0.3.17）发送电子邮件，然后该服务器使用 SMTP 协议通过端口 25 将发送的邮件中继到接收方 SMTP 服务器（目标邮件服务器，IP 地址 10.0.2.1）。此电子邮件系统模型如下所示： 电子邮件 SMTP 系统 我希望将 Suricata 配置为监控通过端口 25 从攻击者 mailServer 中继到目标邮件服务器的 SMTP 流量。 我使用 WireShark 执行数据包捕获以监控 SMTP 流量，如下所示：使用 WireShark 捕获数据包。 SMTP 流量以及源 IP 地址和目标 IP 地址是可见的，表明 SMTP 流量正朝着预期的方向流动。

我希望使用 Suricata IDS 将 SMTP 流量检测为协议的警报，并将生成的警报记录到 Suricata 输出日志文件 /var/log/suricata/eve.json 中，如 Suricata 文档中所述。 我在下面为我的 Suricata IDS 编写了自己的自定义规则：

• alert tcp any any -> [10.0.2.0/24] 25 （msg：“SMTP 中继连接”; flow：to_server，established; sid： 9998088; rev：8;）
• 警报 SMTP any any -> [10.0.2.0/24] any （msg：“SMTP 协议活动”; flow：to_server，established; sid： 9900066; rev：2;） 我已将这些规则添加到一个新文件中，并编辑了 Suricata 配置文件以将此文件包含在“rule-files：”部分下。为了支持 SMTP 应用层检测和输出日志记录到 eve-output 文件，我还在 “app_layer” 和 “outputs：eve-log：types” 部分下编辑了配置文件，如下所示。配置如两个屏幕截图所示： Suricata-SMTP-Detection Suricata-SMTP-Output

编辑配置文件 /etc/suricata/suricata.yaml 后，我运行了以下行： 这些命令没有产生任何错误，这意味着我的自定义 Suricata 规则没有语法错误，并且它们已加载，并且没有配置错误。sudo suricata -T -c /etc/suricata/suricata.yaml -vvvvsudo systemctl restart suricata

最后，我向目标网络中的本地用户帐户发送了一封电子邮件，这封电子邮件通过端口 25 从攻击者邮件服务器中继到目标邮件服务器。使用当前的 Suricata 配置，这应该在输出日志文件 /var/log/suricata/eve.json 中记录警报，其中包含来自我的自定义 Suricata 规则的标签签名“SMTP 中继连接”和“SMTP 协议活动”。但是，事实并非如此。关于为什么会这样的任何帮助将不胜感激？