インストールガイド · 1 min read · Sep 24, 2025
Ubuntu 24.04サーバーにSuricata IDSをインストールする方法
Suricataは、OSIF(オープンインフォセックファウンデーション)によって開発されたオープンソースのIDS(侵入検知システム)およびIPS(侵入防止システム)です。ネットワークトラフィックを監視および検査し、すべてのパケットを処理して悪意のあるネットワーク活動を検出できます。ログイベントを設定し、アラートをトリガーし、疑わしいネットワーク活動のトラフィックをドロップすることもできます。
このチュートリアルでは、Ubuntu 24.04サーバーにSuricata IDSをインストールする方法を示します。Suricataをインストールおよび構成し、ETシグネチャとルールをダウンロードし、最後にsystemdサービスとしてバックグラウンドでSuricataを起動します。
前提条件
このガイドを始める前に、以下のものを用意してください:
- Ubuntu 24.04サーバー。
- 管理者権限を持つ非ルートユーザー。
ソースコードからのインストール
このセクションでは、Suricataをソースコードから手動でコンパイルしてインストールする方法を学びます。その前に、Suricataをコンパイルするためのパッケージ依存関係をインストールします。
まず、以下のコマンドを実行してUbuntuパッケージインデックスを更新し、ビルド依存関係をインストールします。インストールを確認するには「 Y 」と入力します。
sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev
次に「 /usr/src 」ディレクトリに移動し、以下のコマンドを実行してSuricataのソースコードをダウンロードして抽出します。
cd /usr/srcwget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz「 suricata-7.0.6 」ディレクトリに移動し、以下のコマンドでSuricataのコンパイルを設定します。これにより、Suricataのバイナリファイルが「 /usr/bin 」ディレクトリに、Suricataの設定が「 /etc/suricata 」に、データディレクトリが「 /var/lib/suricata 」に設定されます。
cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
プロセスが完了したら、以下のコマンドでSuricataをコピーしてインストールします。
sudo make && sudo make install-fullインストールが完了すると、以下のようになります。
最後に、以下のコマンドを実行して「 suricata 」バイナリファイルを見つけ、そのバージョンを確認します。
which suricata
suricata --build-info以下の出力で、Suricata「 7.0.6 」が「 /usr/bin/suricata 」にインストールされていることが確認できます。
PPAリポジトリからのインストール
APTを介してSuricataをインストールすることを希望する場合は、SuricataのPPAリポジトリをUbuntuシステムに追加する必要があります。また、「 software-properties 」パッケージがインストールされていることを確認してください。
以下のコマンドでSuricataのPPAリポジトリを追加します。
sudo add-apt-repository ppa:oisf/suricata-stable
次に、Ubuntuパッケージインデックスリポジトリを更新し、以下の「 apt 」コマンドでSuricataをインストールします。
sudo apt update
sudo apt install suricataインストールを進めるには「 Y 」と入力します。
インストールが完了したら、以下のコマンドでSuricataのバイナリファイルとそのバージョンを確認します。
which suricata
suricata --build-info以下のように、APTパッケージマネージャーを介してSuricata 7.0.6 がインストールされていることが確認できます。
最後に、以下のコマンドを実行して「 suricata 」サービスを有効にし、停止します。設定する前にSuricataを終了する必要があります。
sudo systemctl enable suricata
sudo systemctl stop suricata
Suricataの設定
このセクションでは、Suricataをネットワークインターフェースを監視するように設定します。Suricataは、ターゲットインターフェース上の悪意のあるトラフィックをキャプチャします。
デフォルトのSuricata設定「 /etc/suricata/suricata.yaml 」を「 nano 」エディタで開きます。
sudo nano /etc/suricata/suricata.yamlローカルネットワークを使用している場合は、ホームネットワークのサブネットを「 HOME_NET 」および「 EXTERNAL_NET 」変数に追加します。
HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"「 af-packet 」セクション内で、デフォルトの「 interface 」をターゲットインターフェースに変更します。この例では、Suricataで「 enp0s3 」インターフェースを監視します。
af-packet:
- interface: enp0s3「 detect-engine 」オプションに「 rule-reload: true 」を追加して、ライブルールのリロードを有効にします。
detect-engine:
- rule-reload: true完了したら、ファイルを保存してエディタを終了します。
Suricataルールセットの更新
Suricataを起動して実行する前に、Suricataのシグネチャとルールをダウンロードして更新する必要があります。これは「suricata-update」コマンドユーティリティを介して行うことができます。
以下の「 suricata-update 」コマンドを実行して、Suricata ETルールをダウンロードして更新します。ETルールが欠落していると、Suricataは起動しません。
sudo suricata-updateSuricataルールは「 /var/lib/suricata/suricata.rules 」ファイルに以下のように書き込まれます。
以下のコマンドでルールのソースを確認できます。
sudo suricata-update list-sourcesSuricataの実行
Suricataを設定し、ETルールをダウンロードおよび更新したので、Suricataルールをテストし、「suricata」サービスを起動して確認します。
Suricataルールをテストするには、以下の「 suricata 」コマンドを実行します。これにより、「 /var/lib/suricata/suricata.rules 」ファイル内の利用可能なルールが処理されます。
sudo suricata -T -c /etc/suricata/suricata.yaml -vエラーがなければ、「 suricata: 提供された設定が正常に読み込まれました。 」という出力が得られます。
次に、以下のコマンドを実行して「suricata」サービスをバックグラウンドで起動し、確認します。
sudo systemctl start suricata
sudo systemctl status suricata以下の出力で、「 suricata 」サービスが実行中であることが確認できます。
結論
おめでとうございます!Ubuntu 24.04サーバーにSuricata IDSのインストールが完了しました。ソースから手動でコンパイルする方法とAPTパッケージマネージャーを介してインストールする方法の2つを学びました。また、Suricataの設定、Suricataのシグネチャとルールの更新、Suricataルールのテスト方法も学びました。
新しい投稿を受信箱で受け取る
スパムはありません。いつでも購読を解除できます。