提问人:The dream of salt fish 提问时间:7/31/2023 更新时间:8/17/2023 访问量:89
SURICATA 7 条件 PCAP 只记录触发特定规则的数据包,而不是所有 TCP 流数据包?
suricata 7 conditional pcap just log the packet that triggers the specific rule, not the all tcp flow packets?
问:
每个人 都: 我对 Suricata 7 条件 pcap 有一些疑问: 1).使用告警模式,我发现 suricata 只记录了触发某些特定规则的数据包,而不是属于一个 tcp 流的所有数据包,这就是问题所在,我想要完整的流数据包,而不仅仅是触发规则的数据包; 2). 使用标签模式,我在我的自定义规则中添加了一个标签,当我重新启动 suricata 引擎时,它输出了一个类似于语法错误的错误,有人遇到同样的问题吗?
任何人都可以帮忙或只是解释一下?
答:
1赞
Jufajardini
8/17/2023
#1
我会尽力回答你的问题:
- 您的意思是,启用 pcap-log: enabled, conditions: alerts,您只看到触发数据包吗?这不是预期的行为,可能是一个错误。如果您确认这是一个错误,如果您可以将其报告给 redmine 跟踪器,以便对其进行调查,那就太好了;
- 您可以编辑您的问题以包含错误消息吗?如果它与规则本身有关,您可以尝试使用 Stamus Networks 的 Suricata Language Server - https://github.com/StamusNetworks/suricata-language-server 来更深入地了解它可能存在的问题。如果没有,则需要对您编写的规则及其触发的错误消息进行更多详细信息。
作为补充说明,我们建议使用我们的论坛 (https://forum.suricata.io/) 来回答此类问题,因为 Suricata 团队(或社区)的人更容易在这里看到问题,并且在跟进问题时它的方式更流畅;)
评论
1赞
The dream of salt fish
9/15/2023
谢谢,我已经在论坛 forum.suricata.io 上发布了我的问题,问题解决了,这里是链接 forum.suricata.io/t/...
评论