Сведения об интерфейсе, на который направляется весь трафик, подлежащий анализу, регулируются двумя конфигурационными файлами. Для смены интерфейса (например, на eth1) администратору необходимо произвести изменения в двух файлах /etc/default/suricata и /etc/suricata/suricata-debian.yaml.

Шаг 1:      Откройте файл /etc/default/suricata и пропишите имя интерфейса для анализа трафика в соответствующем разделе:

# Interface to listen on (for pcap mode)

IFACE=eth1

               Пересчитайте контрольные суммы файлов командой:

run /opt/S-Terra_IDS/bin/integr_ids calc

Шаг 2:      Перезапустите функции мониторинга СОВ, последовательно выполнив команды:

run service ids stop

run service ids start

 

Внимание!

Можно настроить анализ трафика на интерфейсе, который используется как внутренний интерфейс шлюза. Таким образом будет анализироваться трафик, проходящий через шлюз. В этом случае следует отключить установку неразборчивого режима (promisc mode) при работе СОВ на этом интерфейсе. Для этого в файле /etc/suricata/suricata-debian.yaml в разделе af-packet раскомментируйте следующую строку: # disable-promisc: no и установите ее значение в yes.