问题标签 [bro]

我正在尝试在我的 bash 终端中运行 bro。我有一个重复的local.bro文件，我将其重命名为localv2.bro，并将其放在我的工作目录/home/bibin中，因此它不在默认路径中。我只是想做一个简单的签名匹配，因此我signature.sig在目录中创建了一个文件。在我的localv2.bro文件中，我尝试使用两种方式：

和

该signature.sig文件具有来自 bro.org 站点的签名 my-first-sig示例。

当我尝试执行此命令时，在终端中：

我收到一条错误消息：

我也尝试过以不同的方式进行操作：

这也给了我同样的无法识别的字符错误。

我做错了什么，请您指导我解决问题吗？

我一直在OpenStack中用BRO做一些实验，首先我需要用BRO拦截所有的RabbitMQ消息，但是我对这个工具不是很熟悉，我已经按照以下git博客的步骤进行操作 https://github.com/packetsled/bro_amqp_plugin 并且有错误 错误

有人知道我的步骤有什么问题吗？非常感谢！

我正在尝试使用将数据发送到 Elasticsearch，logagent但是虽然发送数据似乎没有任何错误，但并未在 ELK 中创建索引。我试图通过 Kibana GUI 创建新的索引模式来查找索引，但索引似乎不存在。这是我logagent.conf现在的情况：

也许我必须手动创建索引映射？我不知道。

感谢您的任何建议或见解！

我安装了在 ubuntu-16.04 中source code使用的BRO 2.5.3 。make但是我无法使用卸载它

任何想法如何删除它？

有没有办法从 conn.log 文件中确定当前的 bro 版本？

我有一个解析 conn.logs 的应用程序，我目前在标题中看不到任何详细说明版本号的内容

I'm using Bro to crunch a whole lot of pcap files, so I want to run a bunch of instances in parallel, but I'm worried that they will trip over each other accessing the persistent state file (.state/state.bst). Is there any way to tell Bro that it should neither read nor write any persistent state, no matter what the scripts might want? I cannot find anything relevant in the manual. Making .state an inaccessible directory has the desired effect, except that (reasonably enough) Bro issues a warning about not being able to get in there, which I would prefer to avoid (I'd have to filter it out at a higher level).

我是 BRO 的新手，刚开始在 BRO 上测试签名。我有一个脚本 main.bro 和一个签名文件 protosigs.sig。这个想法是比较签名并在重写的事件函数 - signature_match 中做一些事情。我尝试使用以下措施来测试 pcap 文件，但测试没有生成 notice.log。似乎函数 - signature_match 没有被调用。谁能让我知道这里发生了什么？非常感谢！

我如何测试脚本和签名：

我的签名：

我的脚本 - main.bro：

我正在测试与 BRO 的字符串比较，并遇到了一些运行时错误。希望大家可以看看，给我一些提示。例如，我有两个字符串，假设 str_A 和 str_B，str_A 是一种模式，例如：str_A = "\x13\x02\xf0\x80";

str_B 是函数中的有效负载（内容）字符串：

我将这两个字符串与: 进行了比较if(str_A in str_B)，这减少了运行时错误，例如：

看起来模式字符串中间的“x00”被认为是终止符，而对于后者，str_B 的末尾没有 NUL。

所以（愚蠢的）问题是我如何在 BRO 中的 str_B 末尾附加一个 NUL？以及如何让 BRO 在比较时忽略字符串中间嵌入的 NUL？非常感谢。

Hydra 的输出使用hydra -L ~/Documents/wordlists/Aliases.txt -P ~/Documents/wordlists/shortlist.txt -M servers.txt ssh -t 4 -V

sharp67是 PAM 中的用户，aaron1但不是。

以下是试图规避我当前问题notice.log的片段。如果AUTH_PRIV在. 但是，虽然它可以工作，但它没有使用正确的 orig_h IP。它使用本地 ip 而不是我在默认中看到的 IP 。Syslog::Password_GuessingSyslog::Password_Guessing/usr/local/bro/share/bro/policy/protocols/ssh/detect-bruteforcing.brosyslog.logSSH::Password_Guessing

目前，SSH::Password_Guessing除非用户收到 PAM 错误，否则默认值不起作用user unknown。

/var/logs/secure from brotest-01 while using sharp67

这是/var/log/secure on brotest-01 for aaron1

如果用户在ssh.logPAM 中不存在，该auth_success字段几乎会立即从-变为 ，F而如果用户存在，该auth_success字段将保持-更长的时间，我相信这就是它无法生成SSH::Password_Guessing.

我真的不知道为什么会发生这种情况。PAM 有问题吗？PAM 是否会断开连接，然后不允许 Bro 将其记录为失败的 SSH 尝试？我是否需要阻止 PAM 断开连接，或者我是否应该找到一种方法来使用 SSH 连接的 IP 而不是生成系统日志的 IP？任何帮助或输入将不胜感激，谢谢。

[编辑]：以下是我对 `/usr/local/bro/share/bro/base/protocols/syslog/main.bro 所做的更改

我正在尝试使用 ELK 来可视化 BRO 日志数据。我在网上找到了多个 grok 过滤器，但始终无法将模式与数据匹配。我尝试使用的过滤器之一是：

我试图摄取的兄弟数据如下：

谢谢-JP