1

我是 Zeek NSM 的初学者。我编写了一个简单生成的脚本notice logs。我不知道我应该把这个脚本放在哪里,或者我应该按照哪些步骤来生成notice logs或我的custom logs

我已经阅读了文档Zeek并弄清楚了这些基本步骤。

  1. /nsm/bro/share/bro/site/使用您的脚本名称创建一个文件夹。

  2. 将您的脚本放在此文件夹中。

  3. 制作一个新脚本main.bro并在其中写入@load <mycustomScript>.bro

  4. 比将您的文件夹名称(您放置脚本的位置)写入loaded_scripts.bro.

  5. 比运行以下命令...

一世。broctl stop

ii.broctl check

iii.broctl deploy

iv.broctl start

您将在同一文件夹(我们放置脚本的位置)中找到日志。但是在完成所有这些步骤之后,该文件夹中仍然没有日志。

............................. 用于生成通知日志的基本脚本: .... ...................................................

@load base/frameworks/notice
 
export {
   redef enum Notice::Type += {
    Test_Notice,
 };

 event bro_init()
 {
   NOTICE([$note=Test_Notice, $msg=fmt("Testing the Notice Framework")]);
 }

请告诉我这是运行自定义脚本的命令写入序列吗?还是有什么问题?还是需要一些额外的任务来运行脚本并生成通知日志

4

1 回答 1

0

我发现这些步骤是正确的。/opt/bro/share/bro/site/local.bro

您可以添加自定义脚本/opt/bro/share/bro/policy/,然后引用/opt/bro/share/bro/site/local.bro. 以下是如何执行此操作的示例:

/opt/bro/share/bro/policy/. 须藤 mkdir/opt/bro/share/bro/policy/custom-scripts

将您的自定义脚本添加__load__.bro到此目录。

修改__load__.bro以引用custom-scripts目录中的脚本:

@load ./script1.bro @load ./script2.bro

通过在文件底部添加并保存文件进行编辑/opt/bro/share/bro/site/local.bro,以便将新脚本加载到 中。/opt/bro/share/bro/policy/custom-scripts@load custom-scripts

重启大哥sudo so-bro-restart

检查/nsm/bro/logs/current/loaded_scripts.log您的自定义脚本是否已经/已经加载。

/nsm/bro/logs/current/reporter.log如果您的自定义脚本没有按预期工作,请检查线索。

要检查 Bro 脚本是否触发了通知,请转到 Kibana 并检查 Bro Notices 仪表板。或者,您可以检查/nsm/bro/logs/current/notice.log.

于 2021-04-13T21:06:57.543 回答