jasonish/suricata
jasonish
自动构建
Suricata的Docker镜像,提供开源入侵检测系统(IDS)和入侵防御系统(IPS)功能,支持实时网络流量分析与威胁检测,便于快速部署和集成到网络安全架构中。
30 次收藏下载次数: 0状态:自动构建维护者:jasonish仓库类型:镜像最近更新:3 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Suricata Docker镜像文档
概述
Suricata是一款由开放信息安全基金会(OISF)开发的开源入侵检测系统(IDS)和入侵防御系统(IPS),通过实时分析网络流量检测***活动和安全威胁。本Docker镜像将Suricata容器化,简化部署流程,确保环境一致性,适用于各类网络安全监控场景,可快速集成到容器化基础设施中。
核心功能和特性
- 多线程检测引擎:高效处理高带宽网络流量,支持并行检测
- 全面协议支持:覆盖TCP、UDP、ICMP、HTTP、FTP、SMTP等主流网络协议
- 灵活规则系统:基于Suricata规则语言,支持自定义检测规则,兼容Emerging Threats等第三方规则集
- 丰富日志输出:提供EVE JSON、告警日志、HTTP日志等多种格式,便于与SIEM系统集成
- 容器化优势:轻量级部署,与主机环境隔离,支持快速启停和版本管理
使用场景和适用范围
- 小型网络安全监控:为家庭或小型企业网络提供基础威胁检测能力
- 云环境流量分析:部署在Kubernetes等容器编排平台,监控Pod间或外部网络流量
- 安全研究与测试:在隔离环境中测试新规则或分析***流量样本
- SIEM集成节点:作为日志源,将检测结果发送至Splunk、ELK等SIEM系统进行集中分析
使用方法和配置说明
基本部署(Docker Run)
Suricata需访问网络接口捕获流量,建议使用主机网络模式(根据环境调整):
bashdocker run -d \ --name suricata \ --net=host \ -v /path/to/local/rules:/etc/suricata/rules \ -v /path/to/local/logs:/var/log/suricata \ jasonish/docker-suricata:latest
关键参数说明
-d:后台运行容器--name suricata:指定容器名称--net=host:使用主机网络栈(便于直接访问网络接口捕获流量)-v /path/to/local/rules:/etc/suricata/rules:挂载本地规则目录,用于自定义检测规则-v /path/to/local/logs:/var/log/suricata:挂载日志目录,持久化存储检测日志
Docker Compose配置示例
创建docker-compose.yml文件:
yamlversion: '3' services: suricata: image: jasonish/docker-suricata:latest network_mode: host volumes: - ./suricata-rules:/etc/suricata/rules - ./suricata-logs:/var/log/suricata - ./suricata.yaml:/etc/suricata/suricata.yaml # 自定义配置文件(可选) restart: unless-stopped
启动服务:
bashdocker-compose up -d
规则管理
- 获取规则集:可从第三方源下载规则(如Emerging Threats):
bash
mkdir -p ./suricata-rules && wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz -O - | tar zxvf - -C ./suricata-rules - 自定义规则:在挂载的
suricata-rules目录中创建.rules文件,添加自定义检测规则,Suricata将自动加载(部分版本需重启容器)。
日志查看与分析
核心日志文件位于挂载的suricata-logs目录:
eve.json:JSON格式详细事件日志(包含告警、流量记录等,推荐用于SIEM集成)alert.log:文本格式告警日志
实时查看示例:
bashtail -f ./suricata-logs/eve.json | jq . # 使用jq工具格式化JSON输出
注意事项
- 网络权限:使用
--net=host时容器直接使用主机网络,需确保主机防火墙允许必要流量通过 - 性能优化:根据网络带宽调整
suricata.yaml中的线程配置(如threading部分)以匹配硬件能力 - 规则更新:定期更新检测规则以应对新型威胁,可通过脚本自动化规则下载和容器重启
- 安全隔离:生产环境建议限制容器权限,避免挂载敏感主机目录
更多详细配置和高级用法,请参考项目GitHub页面:https://github.com/jasonish/docker-suricata
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 suricata 镜像标签
docker pull docker.xuanyuan.run/jasonish/suricata:<标签>
DockerHub 原生拉取命令
docker pull jasonish/suricata:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"