suricata使用yaml作为配置格式。以下根据官方文档来对suricata.yaml作一些参数说明和解释。

先打开suricata.yaml。

max-pending-packets

文件1042行有：

max-pending-packets

这个参数表示suricata能够同时处理的最大的数据包数量。这个数字最小为1，最大要取决于内存(RAM)的大小。数据包越多，内存消耗也就越大；反之内存消耗越小。当用户有很多的CPU核心时，还把这个数字设置得很小，会造成空间的浪费。典型的例子就是：使用一个核心（core）去处理3个数据包。

runmode

文件1044行有：

runmode

该选项设置了suricata的运行模式，使用命令--list-runmodes在你的命令行，即可查看所有的运行模式。以下是一部分截图：

suricata --list-runmodes

在介绍运行方式（Runmodes）之前首先了解一下suricata的基本组成。Suricata是由所谓的线程（threads）、线程模块 （thread-modules）和队列（queues）组成。Suricata是一个多线程的程序，因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的，比如一个模块用于解析数据包，另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理，队列就是用于将数据包从一个线程传 递到另一个线程。与此同时，一个线程可以拥有多个线程模块，但是在某一时刻只有一个模块在运行。

Suricata的运行方式就是上面介绍的线程（threads）、线程模块（thread-modules）和队列（queues）三种元素的不 同组合方式。上图中的RunMode Type并不是配置文件中的runmodes选项，而是后面的Custom Mode也就是自定义模式才可以在此处设置。比如默认的Runmodes是autofp，在线实时检测流量的模式中其结构如下，单线程模块获取数据包和解码，多线程模块检测，单模块输出：

而在pfring模式下的autofp则有所不同，可以看到它有多个模块获取及解码数据包，通过流绑定队列分配到多个检测模块中进行检测，这应该是pfring模式获取数据包效率更高的原因：

default-packet-size

文件1058行有：

default-packet-size

上面提到的max-pending-packets的选项是设置数据包数量的。这些要处理的数据包都放到了内存中，因此我们需要对每个数据包的大小进行限制。default-packet-size就是限制数据包大小的。设置的默认值是1514，这也是TCP数据包的最大长度（当数据超过这个长度时就会使用报文重组技术）。

user and group

996行有：

run-as

表示用于设置启动suricata的用户及其分组。

pid-file

1005行有：

pid-file

当suricata以daemon mode执行时，需要一个文件来记录suricata的进程ID。

官方文档上还有关于这一条的一个Note：

官方文档的note

action-order

1088行有：

action-order

所有签名都有不同的properties，其中我们要重视的是action property。这决定了当签名匹配的时候会发生什么。以下有四种类型的action。

1、Pass

If a signature matches and contains pass, Suricata stops scanning the packet and skips to the end of all rules (only for the current packet).

pass指的是处理的数据包匹配当前规则时直接跳过后面的所有规则，也就是说不匹配后面的规则。

2、Drop

This only concerns the IPS/inline mode. If the program finds a signature that matches, containing drop, it stops immediately. The packet will not be sent any further. Drawback: The receiver does not receive a message of what is going on, resulting in a time-out (certainly with TCP). Suricata generates an alert for this packet.

drop只能工作在IPS模式下，当数据包匹配到drop的签名时则会被丢弃并且产生一个警告。

3、Reject

This is an active rejection of the packet. Both receiver and sender receive a reject packet. There are two types of reject packets that will be automatically selected. If the offending packet concerns TCP, it will be a Reset-packet. For all other protocols it will be an ICMP-error packet. Suricata also generates an alert. When in Inline/IPS mode, theoffending packet will also be dropped like with the ‘drop’ action.

reject会给数据包的发送和接收端都发生一个拒绝的数据包，如果原本的协议是TCP，则发生reset数据包，否则发送ICMP错误的数据包，同时产生一个警告。在IPS模式下也会丢弃匹配到的数据包。

4、Alert

If a signature matches and contains alert, the packet will be treated like any other non-threatening packet, except for this one an alert will be generated by Suricata. Only the system administrator can notice this alert.

alert则对发送和接收者都没有影响，只会生成一个警告。

Suricata按照规则的出现顺序依次加载，但是处理的顺序则根据配置文件中设置的action重要程度来排列。默认的顺序如下，表示当一个数据包匹配多条规则时，优先处理的是pass的规则，其次是drop，然后是reject，最后是alert。

配置顺序

Splitting configuration in multiple files