我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认bro -r my.pcap似乎生成一些日志文件,但不是这个。在谷歌上搜索添加local最后应该修复它,但它没有。
问问题
634 次
1 回答
5
默认情况下,软件日志只会跟踪“本地”主机的软件。Bro 这样做是因为它将已知软件存储在内存中,如果它默认跟踪所有发现的软件,它将很快消耗所有可用内存。
您有两个选择,您可以通知 Bro 您的本地地址空间,或者您可以告诉 Bro 跟踪所有软件。您还需要加载将软件信息信息提供给软件框架的脚本,我们将在此处通过加载来加载该框架,local.bro其中包括加载所有这些脚本的行。
通知兄弟本地地址空间:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
或者
通过加载启用所有主机的所有内置资产跟踪的调整脚本,使软件框架跟踪所有软件:
bro -r my.pcap tuning/track-all-assets.bro local.bro
或者
要获得更深入的答案,您还可以直接调整软件框架中的选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro
于 2016-06-28T12:14:03.643 回答