7.5 高性能配置

如果有足够的内存，请考虑suricata.yaml中的以下选项，以尽可能减轻CPU的工作量：

detect:
  profile: custom
  custom-values:
      toclient-groups: 200
      toserver-groups: 200
  sgh-mpm-context: auto
  inspection-recursion-limit: 3000

但是，请注意，即使规模适中的规则集可能也需要大量RAM。 另外请注意，有更多的CPU可用提供了更大的性能提升比有更多的RAM可用。 也就是说，配置一个系统的时候，最好把钱花在CPU而不是RAM上。
这也可能导致规则加载时间显着延长。

7.6. Statistics

The stats.log produces statistics records on a fixed interval, by default every 8 seconds.

7.6.1. stats.log file

统计文件

7.6.1.1 检测数据包丢失

关机时，Suricata报告从pcap，pfring或afpacket获取的数据包丢失统计数据

[18088] 30/5/2012 -- 07:39:18 - (RxPcapem21) Packets 451595939, bytes 410869083410
[18088] 30/5/2012 -- 07:39:18 - (RxPcapem21) Pcap Total:451674222 Recv:451596129 Drop:78093 (0.0%).

通常情况下，这不是完整的故事。 这些是内核丢弃状态，但是NIC也可能丢包。 使用ethtool得到那些：

# ethtool -S em2
NIC statistics:
     rx_packets: 35430208463
     tx_packets: 216072
     rx_bytes: 32454370137414
     tx_bytes: 53624450
     rx_broadcast: 17424355
     tx_broadcast: 133508
     rx_multicast: 5332175
     tx_multicast: 82564
     rx_errors: 47
     tx_errors: 0
     tx_dropped: 0
     multicast: 5332175
     collisions: 0
     rx_length_errors: 0
     rx_over_errors: 0
     rx_crc_errors: 51
     rx_frame_errors: 0
     rx_no_buffer_count: 0
     rx_missed_errors: 0
     tx_aborted_errors: 0
     tx_carrier_errors: 0
     tx_fifo_errors: 0
     tx_heartbeat_errors: 0
     tx_window_errors: 0
     tx_abort_late_coll: 0
     tx_deferred_ok: 0
     tx_single_coll_ok: 0
     tx_multi_coll_ok: 0
     tx_timeout_count: 0
     tx_restart_queue: 0
     rx_long_length_errors: 0
     rx_short_length_errors: 0
     rx_align_errors: 0
     tx_tcp_seg_good: 0
     tx_tcp_seg_failed: 0
     rx_flow_control_xon: 0
     rx_flow_control_xoff: 0
     tx_flow_control_xon: 0
     tx_flow_control_xoff: 0
     rx_long_byte_count: 32454370137414
     rx_csum_offload_good: 35270755306
     rx_csum_offload_errors: 65076
     alloc_rx_buff_failed: 0
     tx_smbus: 0
     rx_smbus: 0
     dropped_smbus: 0

7.6.2 内核丢包

stats.log在capture.kernel_packets和capture.kernel_drops中包含有趣的信息。 捕捉模式的含义不同。
在AF_PACKET模式下：

kernel_packets是正确发送到用户空间的数据包的数量
kernel_drops是被丢弃的数据包的数量，而不是被发送到用户空间

在PF_RING模式下：

kernel_packets是pf_ring看到的数据包总数
kernel_drops是被丢弃的数据包的数量，而不是被发送到用户空间
在Suricata stats.log中，TCP数据间隔计数器也是一个指示器，因为它记录了TCP流中丢失的数据包：

tcp.reassembly_gap        | Detect                    | 789

理想情况下，这个数字是0.不仅pkt损失影响它，也不好的校验和和流引擎内存不足。

7.6.3 绘制图形的工具

有些人制作了很好的工具来绘制统计文件的图表。

ipython和matplotlib脚本
使用Zabbix或其他在Github上的代码进行监控
下一页上一页

7.7 忽略流量

在某些情况下，有理由忽略某些流量。 某些主机可能是可信的，或者应该忽略备份流。
本文档列出了一些忽略流量的策略。

7.7.1 捕获过滤器（BPF）

通过BPFs，捕获方法pcap，af-packet和pf_ring可以被告知发送给Suricata的内容，而不是什么。 例如一个简单的过滤器“tcp”只会发送tcp数据包。
如果需要忽略某些主机和/或网络，请使用“not（host IP1 or IP2 or IP3 or net NET / 24）”。
例：
not host 1.2.3.4
捕获过滤器在所有其他选项之后在命令行中指定：

suricata -i eth0 -v not host 1.2.3.4
suricata -i eno1 -c suricata.yaml tcp or udp

捕获过滤器可以在pcap，af-packet，netmap和pf_ring部分的每个接口中设置。 它也可以放在一个文件中：

echo "not host 1.2.3.4" > capture-filter.bpf
suricata -i ens5f0 -F capture-filter.bpf

使用捕获过滤器可以限制Suricata处理的流量。 因此，Suricata未见的流量将不会被检查，记录或记录。

7.7.2 通过规则

通过规则是Suricata规则，如果匹配，则传递数据包，如果是TCP，则传递剩余的数据流。 他们看起来像正常的规则，除了“通知”，而不是“提醒”或“drop”。
例：

pass ip 1.2.3.4 any <> any any (msg:"pass all traffic from/to 1.2.3.4"; sid:1;)

捕获过滤器的一个很大的不同之处在于，对于此流量，仍然会生成诸如Eve或http.log之类的日志。

7.7.3 压制

可以使用抑制规则来确保不会为主机生成警报。 然而这不是有效的，因为压制只被认为是在匹配后。 换句话说，Suricata首先检查规则，然后才考虑每个主机的抑制。

例：

 suppress gen_id 0, sig_id 0, track by_src, ip 1.2.3.4

7.8 数据包分析

在本指南中将解释如何启用数据包分析，并将其与Ubuntu上最新的Suricata代码一起使用。 它基于您已经从GIT存储库安装Suricata。

如果您想知道数据包需要处理多长时间，数据包分析很方便。 这是找出为什么某些数据包比其他数据包更快处理的一种方法，这种方法是开发Suricata的好工具。

按照从Git安装的步骤更新Suricata。 从最后开始

cd suricata/oisf
git pull

并按照下面描述的步骤。 要启用数据包分析，请确保在配置阶段输入以下内容：
./configure --enable-profiling
找到你有pcap的文件夹。 如果你还没有pcap，你可以用Wireshark获得这些。 使用Wireshark查看嗅探包。
转到您的pcaps目录。 例如：
cd ~/Desktop
用ls命令可以看到文件夹的内容。 选择一个文件夹和一个pcap文件
例如：
cd ~/Desktop/2011-05-05

suricata -c /etc/suricata/suricata.yaml -r log.pcap.(followed by the number/name of your pcap)

例如：

suricata -c /etc/suricata/suricata.yaml -r log.pcap.1304589204