问题标签 [bro]

我正在设置 Security Onion 以与 Bro 一起玩，但我想将日志发送到除 ELK 之外的其他 SIEM（默认情况下安装在 Security Onion 上）。wiki将您发送至此处，将您重定向至此处。该页面只是说如果我想添加一个目的地，我将它添加到 /etc/syslog-ng/syslog-ng.conf。所以我做了：

前两行是标准安全洋葱安装放在那里的，我的附加行是第三行。但这不起作用。我尝试使用“远程”以外的名称。我试过tcp和udp。不仅我的其他 SIEM 没有看到它，我什至尝试了 tcpdump 并且它是空的。我到处搜索，我没有看到任何其他选项。想法？

我正在研究 bro 作为 DPI 解决方案来识别流行的 Web 应用程序（例如 nDPI）。我可以确定 conn.log 类似于 netflow。

在官方文档中，已经说过

除了日志之外，Bro 还具有用于一系列分析和检测任务的内置功能，...识别流行的 Web 应用程序...

所以我正在查看 bro 源代码和示例，但我找不到任何标识流行 Web 应用程序流的默认日志。

我最终希望 conn.log 或类似的日志在服务标签下包含“流行的 Web 应用程序服务”。

如果有人将我指向内置脚本以识别流行的 web 应用程序和相关日志，那就太好了。

提前致谢！

我正在使用安全洋葱图像 16.04.5.6。我是 Bro 的新手，根据这个在当前文件夹中我应该可以找到 http.logs 文件。但是我只看到：

我在这里的常见问题解答中找到了，当我使用 Bro 作为命令行实用程序时，我提供了 -C 参数，我可以看到 http.log

但是当我使用 BroCtl 时，http.log 丢失了我试图改变

但是我的 local.bro 文件中缺少此选项。

最后一个常见问题解答似乎正在工作

但是在我当前的文件夹中我找不到 http.log。

任何想法我现在可以做什么或我错过了什么？

我正在尝试读取一个带有 IP 地址列表的文件和另一个带有域的文件，作为https://docs.zeek.org/en/stable/frameworks/input.html中定义的输入框架的概念证明

我准备了以下兄弟脚本：

阅读。兄弟：

还有 bad_ip.bro 脚本，它检查一个 IP 是否在黑名单中，它会加载前一个：

bad_ip.bro

但是，当我运行兄弟时，我收到错误消息：

我正在寻找 bro/zeek 在conn.log. 但我无法确切知道 Bro 识别了多少服务。我在哪里可以获得正确的脚本文件、源代码或文档，在那里我可以获得 Bro 检测到的服务列表？

例如，这个文档部分只是提到

但是这些服务是在哪里定义的呢？

无论如何，是否可以通过 Bro / Zeek 查看更多调试信息？这是我到目前为止所知道的。

• 记录管理器和工作人员（Stderr.log、Stdout.log）
• 状态
• 诊断
• broctl print 和 peerstatus 都挂了，所以对调试没有用
• 上衣

我的 Bro 安装出现了许多错误，但日志显示没有任何问题。我假设有一些隐藏的调试标志或其他东西，或者一些可以揭示一些信息的日志，但我找不到它们。

• broctl peerstatus 挂起，以及打印
• stderr 和 stdout 显示没有问题
• 只有日志是 stats、reporter、cluster、broker、stderr 和 stdout
• 没有连接日志或任何其他日志

我发现这个关于 peerstatus 挂起的链接，这意味着有一种方法可以在 broccoli 中打开调试，只是不确定这是正确的路径。 http://mailman.icsi.berkeley.edu/pipermail/zeek/2016-December/011149.html

集群模式安装Bro后，peerstatus挂了，只生成基本日志，没有流量日志。没有 Conn 日志或任何其他日志。

下面的日志输出，我注意到在记录器和工作器中没有找到核心文件，但是当我从源代码安装时，不确定那个。我的 node.cfg 是默认集群设置。

我以 root 身份访问工作节点

我关闭了集群模式，然后转到单节点，它工作正常。

我是 Zeek NSM 的初学者。我编写了一个简单生成的脚本notice logs。我不知道我应该把这个脚本放在哪里，或者我应该按照哪些步骤来生成notice logs或我的custom logs

我已经阅读了文档Zeek并弄清楚了这些基本步骤。

1. /nsm/bro/share/bro/site/使用您的脚本名称创建一个文件夹。

2. 将您的脚本放在此文件夹中。

3. 制作一个新脚本main.bro并在其中写入@load <mycustomScript>.bro。

4. 比将您的文件夹名称（您放置脚本的位置）写入loaded_scripts.bro.

5. 比运行以下命令...

一世。broctl stop

ii.broctl check

iii.broctl deploy

iv.broctl start

您将在同一文件夹（我们放置脚本的位置）中找到日志。但是在完成所有这些步骤之后，该文件夹中仍然没有日志。

............................. 用于生成通知日志的基本脚本： .... ...................................................

请告诉我这是运行自定义脚本的命令写入序列吗？还是有什么问题？还是需要一些额外的任务来运行脚本并生成通知日志？

我正在使用命令行参数对单个 pcap 文件运行 zeek/bro -r inputfile.pcap。如何在 bro 脚本中访问此输入文件的文件名？我想将 conn.log 重命名为 inputfile_conn.log。

我将 Zeek 独立用于学习目的，并且在日志文件中遇到以下问题：我缺少当前文件夹中的“loaded_scripts.log”文件。我遵循了 rapid7 和 Zeek 手册中的安装指南，所以我认为安装在这里不是问题。我正在运行一些脚本，并希望它们被加载到“loaded_scripts.log”文件夹中，但我没有看到。手动创建一个是否是个好主意，如果可以，有人可以帮助我在创建文件时应该包含哪些内容以及如何在该日志文件中加载/声明脚本？