我已经成功地在我的系统上配置了兄弟。操作系统是 centos 7。我必须监控多媒体流量,例如 youtube 和一些社交网站,如 facebook。我在使用 facebook 和 youtube 时开始了一些 miniutes,但他们在 http 日志文件 nithir facebook 中没有关于 youtube 的信息。至于我认为这是一个协议问题,因为 facebook 使用 https 而不是 http,但我不知道为什么 youtube。
设置正确的界面后,我已按照以下步骤操作。
[BroControl] > install
然后
[BroControl] > start
但我没有在 http.log 中找到任何 youtube 或 facebook 信息。如何获取此类网站的流量信息?
问题是您期望 SSL 加密流量被神奇地解密并出现在您的http.log. 如果你再看一遍,你会发现 YouTube 也是通过 HTTPS 运行的。
除非您正在做一些事情来拦截并充当 SSL/TLS 连接的中间人,否则您不能期望能够看到内容。如果你看不到它,兄弟也看不到它。:)
如果您想验证您的配置是否正确,最好查看conn.log以验证连接是否正在发生。一旦你这样做了,搜索UID其他日志中的值,我强烈怀疑你会看到你正在寻找 SSL 证书数据。
有几件事浮现在脑海
1) 内容是/usr/local/bro/etc/node.cfg什么?确保它是您希望流量通过 span 或 tap 穿过的接口。
2)运行tcpdump -i <interface>接口来自问题1的地方。
3) 运行/usr/local/bro/bin/broctl diag看看是否有任何问题。
4) 运行/usr/local/bro/bin/broctl status以验证一切是否正在运行。
如果界面错误,解决方案可能就这么简单。