0

我想使用 Bro 启用 MAC 地址和主机名的记录。我已经使用Bro了一段时间,但我对它还是有点陌生​​。

版本:Bro 2.5.1

通过对此进行一些研究,我发现我可以通过启用来记录它, policy/protocols/dhcp/known-devices-and-hostnames.bro但为此,我还需要启用policy/misc/known-devices.log.

然后这将登录到devices.log.

现在我遇到的问题是,从这些文件中,每天只会记录一次(默认情况下)。

我需要更频繁地记录这个(一旦有特定的连接,我希望记录连接的mac地址和主机名。这可能吗?如果可能,我是否需要更改默认值以及在哪里?或者我是否可能错过了什么?

4

1 回答 1

0

尝试(此处redef文档)适合您需要的东西。如果您正在运行集群,请考虑BroControl中的。Log::default_rotation_intervalLogRotationInterval

于 2018-08-21T20:45:08.840 回答