Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在使用命令行参数对单个 pcap 文件运行 zeek/bro -r inputfile.pcap。如何在 bro 脚本中访问此输入文件的文件名?我想将 conn.log 重命名为 inputfile_conn.log。
-r inputfile.pcap
据我所知,这是不可能的。一方面,您似乎可以在命令行上将多个 pcap 文件提供给 zeek,并且它们都是并行打开的。在这种情况下,“正在处理什么 pcap?”将没有正确答案。无论如何,我找不到任何可以暴露于脚本的方式。
我建议您通过使用将文件名放入环境变量的脚本包装 zeek 来解决它。然后在脚本内,可以使用getenv环境变量来获取存储的值。
getenv