问题标签 [bro]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
network-traffic - 如何使用 bro 网络安全监视器监控视频和 https 流量
我已经成功地在我的系统上配置了兄弟。操作系统是 centos 7。我必须监控多媒体流量,例如 youtube 和一些社交网站,如 facebook。我在使用 facebook 和 youtube 时开始了一些 miniutes,但他们在 http 日志文件 nithir facebook 中没有关于 youtube 的信息。至于我认为这是一个协议问题,因为 facebook 使用 https 而不是 http,但我不知道为什么 youtube。
设置正确的界面后,我已按照以下步骤操作。
然后
但我没有在 http.log 中找到任何 youtube 或 facebook 信息。如何获取此类网站的流量信息?
security - 使用 bro IDS 进行流量监控的 youtube 插件
我已经通过其快速入门指南配置了 bro 最新版本。我必须监控 youtube 用户统计数据。默认情况下会加载 base/* 中的默认插件。通过使用默认设置运行 bro 不提供 youtube 统计信息,即连接、IP 地址等。我在 中找到了一个脚本policy/misc/app-stats/plugins/youtube.bro,我认为应该加载它。但我还没有找到它的完整细节。
我的问题是
networking - 为什么bro ids默认不显示youtube流量
我已经在我的 centos 系统上配置了 bro IDS。我有所有默认配置。我已经开始了兄弟broctl start,然后我在 youtube 上播放了一些视频并打开了一些其他网站。我很惊讶在日志(如 http.log)中包含其他网站的统计信息,但没有关于 youtube 的信息。我曾经tcpdump像以下命令一样捕获 youtube 流量。
为了分析,然后我运行以下命令
生成了很多日志,但没有 http.log。我认为 http.log 中应该至少有一些信息。问题出在哪里?为什么兄弟不捕获 youtube 流量?如何监控 youtube 流量?
bro - 提取文件匹配兄弟签名
我已经写了一个签名来匹配 small iframesin http responses。
这工作正常,我得到一个条目signatures.logand notice.log。
我想提取任何遇到此问题sig的文件,以便仔细查看,如果查看signature_match事件,我可以看到http数据变量中的内容 -
我应该只是将这些数据输出到文件中,还是有办法使用该file_extract功能正确提取文件。
我想对此进行更多扩展,sigs因此文件提取是我的首选方法。
我应该捕捉sig_match事件然后“调用”文件提取还是捕捉 file_new 事件并以某种方式匹配sig?
bro - Bro - 为数据库编写两个过滤器
我正在尝试将我的兄弟数据推送到数据库。conn 表的示例有效。现在我也想添加 http 日志。我在 misc 文件夹中创建了一个新过滤器,将其添加到我的 bro-default 并重新启动了我的 bro,但它没有添加新表。我的过滤器有什么问题?
intrusion-detection - 如何使用 bro 从 pcap 文件生成 software.log?
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认bro -r my.pcap似乎生成一些日志文件,但不是这个。在谷歌上搜索添加local最后应该修复它,但它没有。
bro - Bro 脚本从 IP 地址查找主机名
我已经使用 Input::add_table 函数编写了一个兄弟脚本来查找 IP 及其相应的主机名并将它们插入到 conn_id 记录中 - 这样我在每个日志文件中都有 id.source_name 和 id.destination_name 。这工作正常,除非有隧道事件并且它因分段错误而崩溃。我怀疑这与封装 ID 有关,但我真的不知道。我知道我可以将 src 和 dest 名称添加到每种类型的信息记录中,但这意味着修改每种类型。我正在尝试做的事情从根本上是不正确的,还是隧道代码中是否存在导致崩溃的错误?或者有没有更好的方法来做到这一点
bro - 兄弟启动时出错
我正在尝试在运行 Ubuntu 16.04 的机器上安装 Bro,但在 bro 启动时遇到以下问题。它有多个错误,请帮助解决它们。
我的 ifconfig 显示了这个:
任何帮助,将不胜感激。
bro - 兄弟 - broctl status Peers 0 (?)
有人可以帮我理解 broctl status 下 Peers (0) 的含义吗?
logstash - bro-ids logstash 过滤器不工作
我已经在 centos 7 上设置了一个 ELK 堆栈,并且正在从运行 bro 的 freebsd 11 主机转发日志。但是,我的过滤器无法正确解析 bro 日志。
这是当前的设置:
freebsd filebeat 客户端
文件节拍.yml
然后在 centos ELK 服务器上我有 4 个配置:
/etc/logstash/conf.d/02-beats-input.conf
/etc/logstash/conf.d/10-syslog-filter.conf
/etc/logstash/conf.d/20-bro-ids-filter.conf
和 /etc/logstash/conf.d/30-elasticsearch-output.conf
我利用了这个要点并根据我的配置对其进行了定制。运行时,我在 /var/log/logstash/logstash-plain.log 中收到以下错误:
我尽我所能查看了我的 logstash 配置,但看不到任何错误。谁能帮我弄清楚它有什么问题?
我正在运行 logstash.noarch 1:5.0.0-1 @elasticsearch elasticsearch.noarch 5.0.0-1 @elasticsearch
非常感谢