1、基础

Arkime安装部分参考《流量分析利器arkime的学习之路（一）—安装部署》
在此基础上安装suricata软件并配置。

2、安装suricata

yum install suricate 

可能依赖的文件包括libyaml，PyYAML，这些可能在之前安装arkime或者其他软件的时候已经安装好了。

3、规则

suricata-update 可以在线更新下rules。如果是离线安装，将下载好的rules文件解压到文件夹/var/lib/suricata/下，

其中suricata.rules是默认的配置规则

4、启动命令

suricata -c /etc/suricata/suricata.yaml -i $ifname &

5、联动arkime

主要是修改arkime的配置文件，并且suricate要提前于arkime启动
修改消息权限

chmod o+r /var/log/suricata/eve.json

修改arkime配置文件

sed -i "s/dropUser=nobody/dropUser=root/g" /opt/arkime/etc/config.ini

增加插件支持

sed -i "216a plugins=suricata.so" /opt/arkime/etc/config.ini
sed -i "217a suricataAlertFile=/var/log/suricata/eve.json" /opt/arkime/etc/config.ini
sed -i "218a suricataExpireMinutes=60" /opt/arkime/etc/config.ini

重新启动arkime抓包程序

systemctl restart arkimecapture.service

可以下载报文

可以看到http交互内容