-3

我一直在寻找这个问题的答案,但我已经被困了 2 天。我正在尝试使用以下文件将数据读入 BRO IDS:

输入::add_table([$source=sinkhole_list_location, $name="sinkhole", $idx=Idx, $val=Val, $destination=sinkhole_list2, $mode=Input::REREAD]);

该文件的格式如 Bro 文档所述:

字段 ip ipname 10.10.20.20 hi 8.8.8.8 hey 192.168.1.1 yo

然而,每当我运行这个,或者我的 Bro IDS 上的任何其他脚本时,我总是得到标题不正确。文件应该是什么格式??????

错误:sinkhole_ip.dat/Input::READER_ASCII:在输入数据文件 sinkhole_ip.dat 中未找到请求的字段 ip。1481713377.164791 错误:sinkhole_ip.dat/Input::READER_ASCII:初始化:无法打开 sinkhole_ip.dat;标题不正确

4

1 回答 1

0

我可以在这里回答我自己的问题,它使用 BRO 默认使用的制表符分隔文件。每个字段都必须是选项卡。

然后您可以将表内容作为测试输出... Input::end_of_data event() 因为一旦收到此事件,输入文件中的所有数据都在表中可用。

于 2016-12-14T12:08:54.383 回答