http 技術分享 gin orm cap test 聯合 aml 總結

suricata命令行

轉載地址：http://blog.sina.com.cn/s/blog_6f8edcde0101gcha.html

suricata命令行選項說明 你能兩種方式使用命令行選項，用一個橫杠後面跟一個字符，或兩個橫杠後面跟一個單詞，例如： -a --long-option ========================================================================== -c這個選項是最重要的選項。在-c之後，要輸入suricata.yaml文件所在的路徑。 -i這個選項之後中，你要輸入你想用來抓包的網卡名稱。這個參數關聯網卡使用libpcap在pacp?live模式下抓包。 -r在這個選項之後，你可以輸入記錄數據的抓包文件的路徑和文件名。可以在pcap/offline模式下，在這個文件中查看包數據。 -s在這個選項之後，你可以設置一個說明名文件，這個文件將與yaml中設置的rules文件集一起載入使用。 -l在這個選項之後，你可設置一個默認的日誌文件夾。如果已在yaml文件中設置了默認的日誌文件夾(default-log-dir)，只有-l後的選項參數起做用。如果不使用-l選項，則使用yaml中設置的默認值。 -D一般情況下你使用終端窗口運行suricata，這個終端窗口會被suricata占用，你不能使用終端窗口處理其他工作，將關閉窗口時suricata也被關閉。如果你使用-D選項，使用suricata成為一個後臺運行的進程，在他運行時，你可能使用終端窗口幹其他的事而不會影響suricata運行。 --list-runmodes使用該選項將列出所有可能的運行模式。 --runmode該選項與-i或-r選項聯合使用。用這個選項你可以設置suricate工作於你所選擇的運行模式。該選項的值可以覆蓋yaml文件中設置的運行模式。將於運行模式請看有關runmodes的更多信息。 -u該選項用於運行單元測試，測試suricata代碼。 -U該選項用於選擇能運行哪一個單元測試。這個先項可以使用正則表達式。例如：Suricata –u –U http --list-unittests，該選項用於例出可用的單元測試。 --fatal-unittests，使用該選項，當一個單元測試失敗後能立即停止，以便於立即查看錯誤信息。 PF_RING選項 為了在libpcap中能使用PF_RING-enabled，必須在suricata啟動時用這個—pfring-int=switch或是it will not invoke the PF_RING enhancements in libpcap。 ================================================================= 以下是自己學習時總結： suricata.c中void usage(const char *progname)函數打印suricata的命令行操作格式： USAGE: ./suricata [OPTIONS] [BPF FILTER] -c // 配置文件路徑，例如:suricata.yaml存放路徑 -T // 測試配置文件，和-c一起使用，例如：./suricata -c /home/test/suricata.yaml -T -i // 以pcap live模式運行 -F // bpf filter file -r // run in pcap file/offline mode(應該是讀包模式) -s // path to signature file loaded in addition to suricata.yaml settings (optional) -S // path to signature file loaded exclusively (optional) -l // 默認的log目錄 -D // daemon方式運行 -V // 版本信息 --list-app-layer-protos // 列出支持的應用層協議 --list-keywords[=all|csv|] // 列出執行關鍵字 --list-runmodes // 列出運行模式 // 例如:PCAP_DEV、PCAP_FILE、PF_RING、NFQ、IPFW、ERF_FILE、ERF_DAG、AF_PACKET_DEV --engine-analysis // 打印分析結果 --pidfile // write pid to this file (only for daemon mode) --init-errors-fatal // enable fatal failure on signature init error --dump-config // show the running configuration --build-info // display build information --pcap[=] // run in pcap mode, no value select interfaces from suricata.yaml --pcap-buffer-size // size of the pcap buffer value from 0 - 初始化中MAX值 --erf-in // process an ERF file

suricata 命令行解釋【轉】