Suricata条件警报

时间:2016-04-06 11:33:52

标签: suricata

我询问 Suricata

有没有办法写条件警报?

例如 - 如果请求的服务器状态是"成功"

,则发出HTTP GET警报

谢谢, 埃弗拉特

2 个答案:

答案 0 :(得分:0)

所有警报都是有条件的,因为它们是由规则中的条件触发的。

匹配http中状态消息的规则类似于:

  

提醒http任意任何 - >任何任何(内容:"成功&#34 ;; http_stat_msg; sid:12345;)

请参阅https://redmine.openinfosecfoundation.org/projects/suricata/wiki/HTTP-keywords#http_stat_msg

答案 1 :(得分:0)

如果您在suricata.yaml文件中更新规则文件名,则可以这样做。最简单的方法是:

  1. 使用自定义提醒创建custom.rule文件
  2. 将customer.rule添加到规则列表中。

  3. 进行实时重装(Kill -USR2)或

    start :suricata -c /etc/suricata/suricata.yaml -i <interface>
  4. 发送流量时,您必须能够在fast.log
    5. 中看到提醒
相关问题
最新问题