#安裝tshark
yum install -y wireshark

#捕獲流量
tshark -i ens33 -w nmap_scan.pcap

#SYN stealth掃描
nmap -sS 192.168.1.200

#版本探測掃描 (-sV)
nmap -sV 192.168.1.200

#操作系統探測掃描 (-O)
nmap -O 192.168.1.200

#aggressive 掃描 (-A)，綜合性掃描
nmap -A 192.168.1.200

#tshark捕獲流量
tshark -i ens192 -w nmap_scan.pcap

# 更詳細地查看TCP flags等信息
tshark -r nmap_scan.pcap -V | grep "Flags"

# 查看負載（Payload）中的數據，尋找Nmap特征
tshark -r nmap_scan.pcap -x | grep Nmap

ip.addr == 192.168.0.100 and ip.addr == 192.168.4.211 && tcp.payload contains "nmap"

#安裝依賴
yum install -y build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libnss3-dev libgeoip-dev liblua5.3-dev libhiredis-dev libevent-dev cargo rustc

#官網下載suricata源碼包

#根據版本解壓
tar xzvf suricata-8.0.0.tar.gz && cd suricata-8.0.0

#生成配置文件
./configure --enable-debug --prefix=/usr --sysconfdir=/etc --localstatedir=/var

#編譯（使用多核加速）
make -j$(nproc)

#安裝ET全量規則
make install-full

#進入/etc/suricata目錄，產生的告警日志存放在/etc/suricata/log，后臺運行suricata
suricata -c /etc/suricata/suricata.yaml  -i ens192 -l /etc/suricata/log -D

#進入日志目錄
cd /etc/suricata/log

#取出告警日志到win主機
scp -p 22 -r root@192.168.4.211:/etc/suricata/log/eve.json .

#在Linux界面顯示告警json數據
tail -f /etc/suricata/log/eve.json | jq 'select(.alert)'

1. 啟用 eve-log 并配置 pcap-file 選項
pcap-file 配置塊。

# suricata.yaml

eve-log:
  enabled: yes
  # ... 其他eve輸出配置（如json輸出到文件）...

  # 這是配置PCAP輸出的關鍵部分
  pcap-file:
    enabled: yes               # 必須設置為 yes
    filename: eve.pcap        # 生成的PCAP文件的基本名

    # 以下兩項決定PCAP文件如何滾動（rollover），防止單個文件過大
    max-size: 100mb           # 每個PCAP文件的最大大小，例如 100mb, 1gb
    max-files: 10             # 保留的最大PCAP文件數量。達到數量后，最舊的文件會被覆蓋。

    # 壓縮生成的pcap文件
    #compression: gzip         # 可選：gzip 或 lz4。注釋掉則禁用壓縮。
    #compression-level: 6      # gzip的壓縮級別 (1-9)

    # 要包含在PCAP中的流量類型
    # 可選值： "alert" (僅警報流量), "metadata" (元數據，不常用), "custom" (自定義，高級用法)
    mode: alert               # 通常我們只保存觸發警報的流量

    # 對于“alert”模式，此選項控制是否保存觸發警報的數據包所在的整個流
    # 可選值： "yes" (保存該警報數據包所在TCP流的所有包), "no" (僅保存觸發警報的單個數據包)
    stream: no                # 建議先設為 'no' 以節省空間，需要時再改為 'yes'

    # 用于匹配警報的規則ID。如果注釋掉，則所有警報的流量都會被保存。
    #rule: 1:2100498           # 可選：只保存匹配此規則ID（sid）的警報流量

    # PCAP文件的存儲目錄
    #dir: /var/log/suricata/pcaps  # 強烈建議設置一個專用目錄
關鍵配置解釋與操作：


2. （可選但推薦）創建專用目錄并設置權限
bash
# 創建存儲PCAP的目錄
sudo mkdir /var/log/suricata/pcaps

# 將目錄的所有權賦予運行Suricata的用戶（通常是suricata或root）
sudo chown suricata:suricata /var/log/suricata/pcaps  # 如果用戶是suricata
# 或者
sudo chown root:root /var/log/suricata/pcaps          # 如果用戶是root

# 確保目錄有正確的權限
sudo chmod 755 /var/log/suricata/pcaps
然后在配置中取消注釋并設置 dir 選項：

yaml
    dir: /var/log/suricata/pcaps
3. 確保 eve-log 的 fileinfo 模塊已啟用
fileinfo 模塊提供了提取文件信息的功能，雖然不直接生成PCAP，但它是 EVE 日志完整功能的一部分。確保它沒有被禁用。

在配置文件中找到以下部分：

yaml
# 配置fileinfo日志記錄（用于記錄傳輸文件的信息）
fileinfo:
  enabled: yes       # 確保這里是 yes
  # ... 其他fileinfo配置 ...