使用Oinkmaster管理suricata规则

下载后解压就可用，功能可以查看README,http://oinkmaster.sourceforge.net/

基本上的功能
如果本地没有rules，可以在oinkmaster.conf中设置

url = https://rules.emergingthreats.net/open/suricata-3.2/emerging.rules.tar.gz

如果本地有规则rules,不通过网上下载，则可以使用以下设置rules的路径

url = dir:///etc/suricata/src/rules

然后运行

./oinkmaster.pl -C ./oinkmaster.conf -o /etc/suricata/rules

处理过的规则就会出现在
/etc/suricata/rules
如果需要设置跳过的文件，或者注释，启用规则，可以如下设置

disablesid 20021236 #注释sid=20021236的规则，其实在重新生成的文件中删掉这一行
enablesid 20021237 #启用sid=20021237的规则
skipfile local.rules #oinkmaster跳过local.rules的规则文件，不处理

还有一些其它的功能在,contrib文件夹中
addsid.pl 给没有sid的规则遍历添加sid，默认从1000001起
makesidex.pl 将所有rules文件中的被注释掉的规则添加到oinkmaster.conf文件中
addmsg.pl 如果oinkmaster.conf文件中出现localsid/enablesid/disablesid sid的行，会将sid
对应的msg添加在后边,比如
运行前,oinkmaster.conf:

disablesid 286
disablesid 287
disablesid 288

运行后,oinkmaster.conf:

disablesid 286       # POP3 EXPLOIT x86 bsd overflow
disablesid 287       # POP3 EXPLOIT x86 bsd overflow
disablesid 288       # POP3 EXPLOIT x86 linux overflow