5. Lancer Suricata, et tester :

Message par **admin** » 03 nov. 2025, 00:44

○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.

Code : Tout sélectionner

suricata-update --disable-conf /etc/suricata/disable.conf

ou :

Code : Tout sélectionner

sudo suricata-update \
  --no-test \
  --suricata-conf /etc/suricata/suricata.yaml \
  --disable-conf /etc/suricata/disable.conf \
  --url https://rules.emergingthreats.net/open/suricata-7.0/emerging.rules.tar.gz \
  --output /var/lib/suricata/rules/

puis :

Code : Tout sélectionner

sudo suricata-update update-sources
sudo suricata-update enable-source et/open
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source sslbl/ssl-fp-blacklist
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
sudo systemctl restart suricata

Pour vérifier que la capture fonctionne bien :

Code : Tout sélectionner

tcpdump -i eth2 -n

(vous pouvez filterer avec |grep "<code ip>", pour voir s'il capture tous les paquets)

Pour recharger les tableaux de bords (kibana), faire :

1) démarrer elasticsearch
2) démarrer kibana
3) faire :
- a. systemctl stop filebeat
  b. filebeat setup
  c. systemctl start filebeat