Suricata镜像流量解析--Suricata部署

突然讲镜像流量解析有一些突兀，那就大致讲一下为什么要做流量镜像吧。

目前公司的应用安全防火墙（WAF）基于日志做的拦截，日志来源于Nginx服务器的lua模块，对于Nginx性能有一定的损耗，加上系统解耦的需要。所以考虑用流量镜像的方式，部署单独的集群对日志进行处理，好处有下边几点：

1. 系统解耦；

2. 提高lua拦截模块性能；

3. 满足WAF业务更多的特殊需求，如攻击统计，展示，告警等；

镜像网络架构图如下：

测试环境有两台物理机部署了WAF，使用Nginx做反向代理，一台物理机部署Suricata做流量镜像解析。

Suricata的部署过程参考https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation，使用过程中也出现了一些小插曲，印象深刻的比如https://redmine.openinfosecfoundation.org/issues/2396?issue_count=476&issue_position=6&next_issue_id=2395&prev_issue_id=2397，因为一个不起眼的vlan配置导致http-log日志采集不到，如果在安装使用中遇到问题，可以去Suricata的wiki上去查询。

Suricata提供了json格式的日志记录，在eve.json中，镜像流量的日志量比较大，暂时采用eve-yyyy-mm-dd.json的格式记录每天的日志，配置如下:

- eve-log:
      enabled: yes
      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis
      filename: eve-%Y-%m-%d.json
      #filename: eve.json

将记录到的日志通过logstash同步至Elasticsearch，这部分内容将在下一篇文章中记录。

最后，如果在安装/使用过程有什么问题，大家可以一起交流。