问题标签 [bro]

I have to analyze few pcap files. I have installed bro 2.5. It works perfectly. But It does not give any information (e.g. data transfer, peers) about p2p connections like torrent etc. Is their any builtin option?

Please give some example (configuration etc.) about it as I am newbie in Bro IDS.

我有多个按日期命名的目录（例如：2017-09-05），并且在这些目录中包含来自 BRO IDS 的多个 log.gz 文件。我正在尝试进入每个目录，并仅按名称获取特定的 log.gz 文件，然后使用 rysnc 将它们发送到远程系统。日志文件如下所示：app_stats.00:00:00-01:00:00.log.gz我正在尝试使用通配符来完成此操作。

前任：rsync -avh --ignore-existing -e ssh -r /home/data/logs/2017-09-* {dns,http}.*.log.gz / root@10.23.xx.xx:/home/pnlogs/

这很接近，但它只是复制每个文件夹中的所有文件，而忽略了我尝试获取 http 和 dns 日志的尝试，如示例中所示。这可以在一行中完成吗？我需要多个吗？

我已经从源代码构建了 Bro IDS。它已成功安装

我在VM中运行兄弟。我的以太网接口是 ens33 而不是 eth0。将 node.cfg 更新到我的自定义界面（即 ens33）后，我仍然无法启动兄弟。

节点配置文件

当我启动 broctl 时，我看到以下错误日志

我可以从日志中了解到 broctl 无法读取更新的 node.cfg，因为它使用了错误的接口。现在我需要知道我还需要进行哪些更改才能在不崩溃的情况下启动兄弟？

我想每 10 秒收集一次流量统计信息，我发现的唯一工具是 connection_state_remove 事件，

如何处理在此期间结束时未删除的那些连接。如何从他们那里获得统计数据？

我想使用 Bro 启用 MAC 地址和主机名的记录。我已经使用Bro了一段时间，但我对它还是有点陌生​​。

版本：Bro 2.5.1

通过对此进行一些研究，我发现我可以通过启用来记录它， policy/protocols/dhcp/known-devices-and-hostnames.bro但为此，我还需要启用policy/misc/known-devices.log.

然后这将登录到devices.log.

现在我遇到的问题是，从这些文件中，每天只会记录一次（默认情况下）。

我需要更频繁地记录这个（一旦有特定的连接，我希望记录连接的mac地址和主机名。这可能吗？如果可能，我是否需要更改默认值以及在哪里？或者我是否可能错过了什么？

尝试使用以下命令运行conn目录中的main.bro文件时：

我收到以下错误：

我的目标： 返回orig_bytes和resp_bytes不为空的 conn.log 文件，因此我试图在 main.bro 文件中的这两个变量之后摆脱 & 可选标志。代码的所有其他方面都是相同的。

旁注：我设法检索了 conn.log 文件，并对 /scripts/site/ 中的 local.bro 文件进行了调整

谢谢你的帮助。

我有一个与 Ubuntu 中的 bro id 相关的问题，bro 在添加脚本后没有生成 notice.log 文件。请任何人帮助我解决这个问题。 单击此处查看添加规则后创建的日志文件，但此处缺少 notice.log 文件

如何访问 Bro conn.log 中的列名，以便查看这些字段的名称？

我有一个任务，我需要一点帮助。我已经感染了.pcap 和以下任务：

硬编码 IP 地址 有时，恶意软件包含硬编码 IP 地址以下载其有效负载或与其命令和控制 (C&C) 服务器通信。找到所有这样的交流。提示：此类 IP 没有先前的 DNS 请求。

我需要用 Bro 脚本解决它。这是我的想法，但不幸的是我所有的连接都没有 DNS 请求：

你知道我的代码有什么问题吗？

我正在使用 bro 直接读取数据包有效负载的字节。

我有一个字符串值“\x10”，我想得到它的十进制值。

我知道兄弟支持直接将十六进制打印为十进制：

问题是，我如何将该字符串转换为其整数版本？