Tài liệu » 3.

Tùy chọn dòng lệnh

3. Command Line Tùy chọn

Tùy chọn dòng lệnh của Suricata:

-h

Hiển thị tổng quan sử dụng ngắn gọn.

-V

Hiển thị phiên bản của Suricata.

-c <path>

Đường dẫn đến tập n cấu hình.

-T

Kiểm tra cấu hình.

-v

Tùy chọn -v cho phép mức độ dài hơn của đầu ra của Suricata. Cung cấp nhiều lần để có
độ dài hơn.

-r <path>

Chạy trong chế độ ngoại tuyến pcap đọc tệp từ tệp pcap.

-i <interface>

Sau tùy chọn -i, bạn có thể nhập thẻ giao diện bạn muốn sử dụng để đánh hơi các gói từ
đó. Tùy chọn này sẽ cố gắng sử dụng phương pháp chụp tốt nhất hiện có.

--pcap[=<device>]

Chạy ở chế độ PCAP. Nếu không có thiết bị nào được cung cấp, các giao diện được cung
cấp trong phần pcap của tệp cấu hình sẽ được sử dụng.

--af-packet[=<device>]

Cho phép chụp gói bằng cách sử dụng AF_PACKET trên Linux. Nếu không có thiết bị nào
được cung cấp, danh sách các thiết bị từ phần af-gói trong yaml sẽ được sử dụng.
-q <queue id>

Chạy nội tuyến của ID hàng đợi NFITEUE được cung cấp. Có thể được cung cấp nhiều
lần.

-s <filename.rules>

Với tùy chọn -s, bạn có thể đặt tệp có chữ ký, tệp này sẽ được tải cùng với các quy tắc
được đặt trong yaml.

-S <filename.rules>

Với tùy chọn -S, bạn có thể đặt tệp có chữ ký, sẽ được tải riêng, bất kể các quy tắc được
đặt trong yaml.

-l <directory>

Với tùy chọn -l, bạn có thể đặt thư mục nhật ký mặc định. Nếu bạn đã có cài đặt log-dir
mặc định trong yaml, nó sẽ không được Suricata sử dụng nếu bạn sử dụng tùy chọn -l. Nó
sẽ sử dụng thư mục nhật ký được thiết lập với tùy chọn -l. Nếu bạn không đặt thư mục
với tùy chọn -l, Suricata sẽ sử dụng thư mục được đặt trong yaml.

-D

Thông thường nếu bạn chạy Suricata trên bảng điều khiển của mình, nó sẽ giữ cho bảng
điều khiển của bạn bị chiếm đóng. Bạn không thể sử dụng nó cho các mục đích khác và
khi bạn đóng cửa sổ, Suricata ngừng chạy. Nếu bạn chạy Suricata dưới dạng deamon (sử
dụng tùy chọn -D), nó sẽ chạy ở chế độ nền và bạn sẽ có thể sử dụng bàn điều khiển cho
các tác vụ khác mà không làm phiền động cơ đang chạy.

--runmode <runmode>

Với tùy chọn Tích hợp, bạn có thể đặt mã chạy mà bạn muốn sử dụng. Tùy chọn dòng lệnh
này có thể ghi đè tùy chọn runamode yaml.

Runmodes là: công nhân , autofp và single .

Để biết thêm thông n về runmodes, xem Runmodes trong hướng dẫn sử dụng.

-F <bpf filter file>

Sử dụng bộ lọc BPF từ tệp.

-k [all|none]

Buộc (tất cả) kiểm tra tổng kiểm tra hoặc vô hiệu hóa (không có) tất cả kiểm tra tổng kiểm
tra.

--user=<user>
 Đặt người dùng quy trình sau khi khởi tạo. Ghi đè người dùng được cung cấp trong phần
chạy dưới dạng tệp cấu hình.

--group=<group>

Đặt nhóm quy trình thành nhóm sau khi khởi tạo. Ghi đè nhóm được cung cấp trong phần
chạy dưới dạng tệp cấu hình.

--pidfile <file>

Viết ID ến trình vào tập n. Ghi đè tùy chọn tệp pid trong tệp cấu hình và buộc tệp được
ghi khi không chạy dưới dạng daemon.

--init-errors-fatal

Thoát với một lỗi khi gặp lỗi khi tải chữ ký.

--disable-detection

Vô hiệu hóa công cụ phát hiện.

--dump-config

Kết xuất cấu hình được tải từ tệp cấu hình đến thiết bị đầu cuối và thoát.

--build-info

Hiển thị thông n bản dựng mà Suricata được xây dựng với.

--list-app-layer-protos

Liệt kê tất cả các giao thức lớp ứng dụng được hỗ trợ.

--list-keywords=[all|csv|<kword>]

Liệt kê tất cả các từ khóa quy tắc được hỗ trợ.

--list-runmodes

Liệt kê tất cả các chế độ chạy được hỗ trợ.

--set <key>=<value>

Đặt giá trị cấu hình. Hữu ích cho việc ghi đè các tham số cấu hình cơ bản trong cấu hình.
Ví dụ: để thay đổi thư mục nhật ký mặc định:

--set default-log-dir=/var/tmp
--engine-analysis

In báo cáo về phân ch các phần khác nhau trong động cơ và thoát. Vui lòng xem phân
ch công cụ tham số conf về những báo cáo nào có thể được in

--unix-socket=<file>

Sử dụng tập n như ổ cắm điều khiển Suricata unix. Ghi đè tên tệp được cung cấp trong
phần lệnh unix của tệp cấu hình.

--pcap-buffer-size=<size>

Đặt kích thước của bộ đệm PCAP (0 - 2147483647).

--netmap[=<device>]

Cho phép chụp gói bằng NETMAP trên FreeBSD hoặc Linux. Nếu không có thiết bị nào
được cung cấp, danh sách các thiết bị từ phần netmap trong yaml sẽ được sử dụng.

--pfring[=<device>]

Cho phép chụp gói PF_RING. Nếu không có thiết bị nào được cung cấp, các thiết bị trong
cấu hình Suricata sẽ được sử dụng.

--pfring-cluster-id <id>

Đặt ID cụm PF_RING.

--pfring-cluster-type <type>

Đặt loại cụm PF_RING (cluster_round_robin, cluster_flow).

-d <divert-port>

Chạy nội tuyến bằng chế độ chuyển hướng IPFW.

--dag <device>

Cho phép chụp gói ra khỏi thẻ DAG. Nếu bắt được một luồng cụ thể, có thể chọn luồng
đó bằng cách sử dụng tên thiết bị như là dag0: 4. Tùy chọn này có thể được cung cấp
nhiều lần để đọc nhiều thiết bị và / hoặc luồng.

--napatech

Cho phép chụp gói bằng API Napatech Streams.

--mpipe

Cho phép chụp gói bằng giao diện mpipe của TileGX.
--erf-in=<file>

Chạy trong chế độ ngoại tuyến đọc tệp ERF cụ thể (Định dạng bản ghi mở rộng Endace).

--simulate-ips

Mô phỏng chế độ IPS khi chạy ở chế độ không phải IPS.

3.1. Unit Tests

Uni ests xây dựng chỉ có sẵn nếu Suricata đã được xây dựng với ch hợp-uni ests.

Chạy uni ests không mất một tập n cấu hình. Sử dụng -l để cung cấp một thư mục đầu ra.

-u

Chạy thử nghiệm đơn vị và thoát. Yêu cầu Suricata phải được biên dịch với ch hợp -
uni ests .

-U, --unittest-filter=REGEX

Với tùy chọn -U, bạn có thể chọn thử nghiệm đơn vị nào bạn muốn chạy. Tùy chọn này sử
dụng REGEX. Ví dụ sử dụng: suricata -u -U h p

--list-unittests

Liệt kê tất cả các bài kiểm tra đơn vị.

--fatal-unittests

Cho phép thất bại nghiêm trọng trên một lỗi kiểm tra đơn vị. Suricata sẽ thoát ra thay vì
ếp tục thử nghiệm nhiều hơn.

--unittests-coverage

Hiển thị báo cáo thử nghiệm đơn vị.