1、首先对线程的设置,Suricata会创建1.5*M个检测线程,M是系统的CPU核心总数,关闭eth0接口的LRO/GRO功能。
2、然后使用某些网卡的情况下,会看到如下警告信息,忽略它们就行,这些信息是在说的网卡不支持LRO功能而已。
3、接下来Suricata支持许多运行模式,运行模式决定着IDC会使用何种线程,如图命令可以查看所有可用的运行模式。
4、Suricata使用的默认运行模式是autofp,这个模式下,来自某一个流的包会被分配到一个单独的检测线程中,这些流会根据未被处理的包的最低数量来分配相应的线程。
5、接着在一个8核心系统中监控eth0网络接口,Suricata创建了13个包处理线程和3个管理线程。包处理线程中包括一个PCAP包捕获线程,12个检测线程。
6、最后在IDS内的1个包捕获线程均衡蚩距粼讨负载到12个检测线程中,管理线程包括1个流管理和2个计数/统计相关线程,Suricata检测日志存储在/var/log/suricata目录下。
