[原创首发]安全日志管理中心实战(3)——开源NIDS之suricata部署

参考官方网址
https://suricata-ids.org/download/

为提高性能，建议安装pf-ring，并加载到网卡，且关闭网卡gro功能。

一、依赖安装

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \

build-essential autoconf automake libtool libpcap-dev libnet1-dev \

libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \

make libmagic-dev libjansson-dev libjansson4 pkg-config

备注：特别功能安装依赖如下

apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev \

libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \

libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev \

libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev \

python-yaml rustc cargo

IPS安装依赖

apt-get install libnetfilter-queue-dev libnetfilter-queue1 \

libnetfilter-log-dev libnetfilter-log1 \

libnfnetlink-dev libnfnetlink0

二、安装suricata

我选择安装的版本为3.1，最新版本的rules都在suricata.rules文件中，不易读。命令行依次输入如下命令：

VER=3.1

wget "http://www.openinfosecfoundation.org/download/suricata-$VER.tar.gz"

tar -xvzf "suricata-$VER.tar.gz"

cd "suricata-$VER"

//因是镜像流量，不需要安装ips功能了

./configure --prefix=/usr --sysconfdir=/etc --enable-pfring --localstatedir=/var --enabled-lua –enable-geoip

make

sudo make install

sudo ldconfig

修改相关权限[可选--具体我有没有选择忘记了，我用的非root安装]

sudo chmod -R g+r /etc/suricata/

sudo chmod -R g+rw /var/lib/suricata/rules

sudo chmod -R g+rw /var/lib/suricata/update

sudo usermod -a -G suricata [username]

//更新配置文件和规则文件

sudo make install install-full

三、更新签名库

sudo apt install python-pip

sudo pip install --upgrade suricata-update

sudo suricata-update #更新

sudo cp /var/lib/suricata/rules/suricata.rules /etc/suricata/rules

四、配置suricata.yml

我想说我懒了。。配置文件密密麻麻，我简单说一下，大家也可以参考互联网上其他内容

①启动规则：default-rule-path: /etc/suricata/rules这个基本不用动，开启该配置行下面的规则即可；

②开启日志输出功能

修改日志存放路径，再定义是否开启下面的日志记录，不仅仅只有图中这些，因内容较多就不一一截图了；

③修改自己机器的监听网卡af和pcap的地方；

④完成上述配置基本能用了，若需要分享suricata.yml文件，可以联系我；

⑤因本身流量不大，pf_ring的功能体现不出来，若流量较大，可以将配置文件中的defrag\flow\tcp\udp\stream等参数进行调优（说白了就是加大）。

启动suricata

sudo suricata -c /etc/suricata/suricata.yaml -i eno3 &

五、部署filebeat

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.6.2-amd64.deb

sudo dpkg -i filebeat-7.6.2-amd64.deb

sudo vi /etc/filebeat/filebeat.yml

filebeat.inputs:

- type: log

enabled: true

#you should mkdir -p /data/log/suricata first !!!!!!!!!!!!!

paths:

- /data/log/suricata/eve.json

- /data/log/suricata/http.log

- /data/log/suricata/tls.log

fields:

event.type: suricata

output.logstash:#具体ip参考规划,且格式对对其，因复制粘贴的问题，可能有错位

hosts: ["10.10.10.75:5044"]

接着启动filebeat，发现报错

sudo service filebeat start

Service filebeat status 查看发现无正常日志，排查为文件夹权限问题，主要原有是因为在系统初始安装的时候未使用当前用户，后续再建立用户过程中，多多少少存在文件夹权限问题，

chmod 755 –R /var/lib/filebeat

之后

sudo service filebeat start 启动成功，status查看到正常连接到logstash。