Closed blade-fimer closed 2 years ago
您好,
- fast:
enabled: no
...
- alert-json-log:
enabled: no
...
- eve-log:
enabled: no
types:
- alert:
...
- 只使用suricata采集日志,是可行的(无需配置规则),本身suricata具备应用成协议解析的能力,以http信息输出为例
- 更详细的配置,建议参考suricata的[配置手册](https://suricata.readthedocs.io/en/latest/configuration/index.html)
谢谢@CosmosSun,想知道这样关闭告警配置的话,实际代码逻辑里面还会去走一遍告警的流程吗?还是说这样关闭后整体就可以接近我自己用libpcap(假设)抓包并自己组包成HTTP流量的性能?
主要是想看是否可以直接利用这个框架,有没有必要自己去开发这个抓包组包的功能
想讨论qnsm的请联系俺QQ: 16200780 添加备注github qnsm
您好,请教一下,我们的场景是通过旁路部署进行HTTP流量分析,主要需要进行旁路流量的采集,是否能够比较方便地利用qnsm部分功能进行采集而不配置告警这类IDPS的功能呢?
目前考虑要么只用suricata(也是只利用其采集和日志功能),但不知道是否可以不配置IDPS相关的规则这些?
可能跟项目本身有点偏离,但还是想听一下专家的意见,非常感谢!