参考官方网址https://suricata-ids.org/download/
为提高性能,建议安装pf-ring,并加载到网卡,且关闭网卡gro功能。
一、依赖安装
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \
build-essential autoconf automake libtool libpcap-dev libnet1-dev \
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \
make libmagic-dev libjansson-dev libjansson4 pkg-config
备注:特别功能安装依赖如下
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev \
libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev \
libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev \
python-yaml rustc cargo
IPS安装依赖
apt-get install libnetfilter-queue-dev libnetfilter-queue1 \
libnetfilter-log-dev libnetfilter-log1 \
libnfnetlink-dev libnfnetlink0
二、安装suricata
我选择安装的版本为3.1,最新版本的rules都在suricata.rules文件中,不易读。命令行依次输入如下命令:
VER=3.1
wget "http://www.openinfosecfoundation.org/download/suricata-$VER.tar.gz"
tar -xvzf "suricata-$VER.tar.gz"
cd "suricata-$VER"
//因是镜像流量,不需要安装ips功能了
./configure --prefix=/usr --sysconfdir=/etc --enable-pfring --localstatedir=/var --enabled-lua –enable-geoip
make
sudo make install
sudo ldconfig
修改相关权限[可选--具体我有没有选择忘记了,我用的非root安装]
sudo chmod -R g r /etc/suricata/
sudo chmod -R g rw /var/lib/suricata/rules
sudo chmod -R g rw /var/lib/suricata/update
sudo usermod -a -G suricata [username]
//更新配置文件和规则文件
sudo make install install-full
三、更新签名库
sudo apt install python-pip
sudo pip install --upgrade suricata-update
sudo suricata-update #更新
sudo cp /var/lib/suricata/rules/suricata.rules /etc/suricata/rules
四、配置suricata.yml
我想说我懒了。。配置文件密密麻麻,我简单说一下,大家也可以参考互联网上其他内容
①启动规则:default-rule-path: /etc/suricata/rules这个基本不用动,开启该配置行下面的规则即可;
②开启日志输出功能
修改日志存放路径,再定义是否开启下面的日志记录,不仅仅只有图中这些,因内容较多就不一一截图了;
③修改自己机器的监听网卡af和pcap的地方;
④完成上述配置基本能用了,若需要分享suricata.yml文件,可以联系我;
⑤因本身流量不大,pf_ring的功能体现不出来,若流量较大,可以将配置文件中的defrag\flow\tcp\udp\stream等参数进行调优(说白了就是加大)。
启动suricata
sudo suricata -c /etc/suricata/suricata.yaml -i eno3 &
五、部署filebeat
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.6.2-amd64.deb
sudo dpkg -i filebeat-7.6.2-amd64.deb
sudo vi /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
enabled: true
#you should mkdir -p /data/log/suricata first !!!!!!!!!!!!!
paths:
- /data/log/suricata/eve.json
- /data/log/suricata/http.log
- /data/log/suricata/tls.log
fields:
event.type: suricata
output.logstash:#具体ip参考规划,且格式对对其,因复制粘贴的问题,可能有错位
hosts: ["10.10.10.75:5044"]
接着启动filebeat,发现报错
sudo service filebeat start
Service filebeat status 查看发现无正常日志,排查为文件夹权限问题,主要原有是因为在系统初始安装的时候未使用当前用户,后续再建立用户过程中,多多少少存在文件夹权限问题,
chmod 755 –R /var/lib/filebeat
之后
sudo service filebeat start 启动成功,status查看到正常连接到logstash。
,