| -c <path> |
可指定配置文件路径 |
| -T |
仅测试配置文件 |
| -i <dev or ip> |
指定抓包的设备或IP(仅能指定一个) |
| -F <bpf filter file> |
指定bpf过滤文件 |
| -r <path> |
离线模式处理指定pcap文件 |
| -q <qid> |
指定nfqueue队列号,nfqueue模式运行 |
| -s <path> |
指定额外加载的特征文件。与-S不能同时存在 |
| -S <path> |
指定不加载的特征文件。与-s不能同时存在 |
| -l <dir> |
指定日志目录 |
| -D |
守护进程模式运行 |
| -k [all | none] |
强制checksum校验 或 关闭checksum校验 |
| -V |
显示版本号 |
| -v[v] |
增加更多详细信息 |
| –list-app-layer-protos |
显示支持的应用层协议 |
| –list-keywords[=all|csv|<kword>] |
显示所有支持的特征关键字 |
| –list-runmodes |
列举支持的runmode |
| –runmode |
指定引擎运行时的runmode |
| –engine-analysis |
参考配置文件中的engine-analysis段,将分析报告打印到日志目录中的相应文件中 |
| –pidfile <file> |
指定pid文件 |
| –init-errors-fatal |
当特征文件初始化失败时停止进程 |
| –disable-detection |
关闭检测引擎 |
| –dump-config |
显示运行时配置 |
| –build-info |
显示编译配置信息 |
| –pcap[=<dev>] |
以PCAP模式捕获指定设备的数据包。如未提供设备名则捕获配置文件pcap段提供的设备(可有多个) |
| –pcap-buffer-size |
指定pcap的缓冲区值 from 0 - 2147483647 |
| –af-packet[=<dev>] |
以AF_PACKET模式捕获指定设备的数据包。如未提供设备名则捕获配置文件af-packet段提供的设备(可有多个) |
| –simulate-ips |
强制引擎进入IPS模式运行 |
| –user <user> |
初始化后切换为指定用户执行 |
| –group <group> |
初始化后切换为指定组执行 |
| –erf-in <path> |
离线模式处理指定erf文件(Extensible Record Format) |
| –unix-socket[=<file>] |
使用unix socket控制suricata运行 |
| –set name=value |
指定一个配置项的值 |
