如果只打算采集HTTP流量，有什么建议吗？

[blade-fimer]

您好，请教一下，我们的场景是通过旁路部署进行HTTP流量分析，主要需要进行旁路流量的采集，是否能够比较方便地利用qnsm部分功能进行采集而不配置告警这类IDPS的功能呢？

目前考虑要么只用suricata（也是只利用其采集和日志功能），但不知道是否可以不配置IDPS相关的规则这些？

可能跟项目本身有点偏离，但还是想听一下专家的意见，非常感谢！

[CosmosSun]

您好，

• 关闭IDPS的告警，需要将suricata的配置文件涉及到告警的几处配置disable

  
  - fast:
    enabled: no
  ...
  - alert-json-log:
    enabled: no
  ...
  - eve-log:
    enabled: no
    types:
      - alert:
  ...

- 只使用suricata采集日志，是可行的（无需配置规则），本身suricata具备应用成协议解析的能力，以http信息输出为例

• http-json-log: enabled: yes filetype: kafka kafka: brokers: > x.x.x.x:port1 topic: topic-y partitions: 8

  
  - 更详细的配置，建议参考suricata的[配置手册](https://suricata.readthedocs.io/en/latest/configuration/index.html)

[blade-fimer]

谢谢@CosmosSun，想知道这样关闭告警配置的话，实际代码逻辑里面还会去走一遍告警的流程吗？还是说这样关闭后整体就可以接近我自己用libpcap（假设）抓包并自己组包成HTTP流量的性能？

主要是想看是否可以直接利用这个框架，有没有必要自己去开发这个抓包组包的功能

[snoopy7713]

想讨论qnsm的请联系俺QQ: 16200780 添加备注github qnsm