「Suricata」Suricata NFLOG开启配置

首先，检查Suricata是否支持NFLOG模式：

$ suricata --build-info
# 无关输出省略
...
...
Suricata Configuration:
  AF_PACKET support:                       yes
  eBPF support:                            no
  XDP support:                             no
  PF_RING support:                         no
  NFQueue support:                         no
  NFLOG support:                           yes

如果不支持nflog模式，像我之前是通过ppa安装的，默认不支持NFLOG，则需要在官网上下载安装包，在服务器上解压并进入对应文件夹后，运行configuration进行配置，命令如下：

./configure --enable-nflog --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/

其中，--enable-nflog表示配置支持NFLOG，--prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/用以配置安装路径。

在suricata.yaml中配置NFLOG（iptables传送到NFLOG的配置可参考这篇文章）：

#nflog support
nflog:
    # netlink multicast group
    # (the same as the iptables --nflog-group param)
    # Group 0 is used by the kernel, so you can't use it
  - group: 40
    # netlink buffer size
    qthreshold: 1
    qtimeout: 100
    buffer-size: 87380
    max-size: 12582912

运行Suricata：

suricata -c /etc/suricata/suricata.yaml --nflog -D