问题标签 [bro]

我有一个正则表达式如下：

我正在尝试从两个不同的日志样本中提取源 IP 地址。“id.orig_h”和“tx_hosts”是源 IP 的两个不同字段。我如何忽略语音标记和方括号？我只想提取IP地址

任何帮助将不胜感激:-)

谢谢，JM

我正在测试 Zeek/Bro 在检测不同类型的隐写术方面的能力。现在使用 ICMP 协议后，我正在尝试检查 TCP 协议。我想检测 TCP 中的保留位是否在 TCP 事件的帮助下发生了变化。不幸的是没有成功。

是否可以使用 Zeek 检查 TCP 保留位？

我正在尝试编写一个 Zeek 脚本来将 dns 流量划分为两个日志文件（查询和回复）。错误是事件中代码$TTL=c$dns$TTLs的“字段缺失值”。dns_query_reply我不明白此错误的原因，因为 dns.log 文件正确包含该值。

代码如下：

情况：我已经设置了一个 Zeek/Bro IDS 并让它在一个接口上侦听（使用 iptables 转发流量。

问题：Zeek 被 127.0.0.1/8 流量触发，我找不到任何材料来帮助我忽略 Google 上的这些流量。

问题：不仅限于 127.0.0.0/8 流量，我如何配置 Zeek 使其能够忽略来自某些子网的流量？

附加信息1：我试图添加子网（127.0.0.0/8）$ZEEK_PREFIX/etc/networks.cfg，但它什么也没做

我正在尝试在 3 台 Ubuntu 18.04 LTS 主机上设置 Zeek IDS 集群（v.3.2.0-dev.271）但无济于事 - 运行zeek deploy命令失败并显示以下输出：

我遵循了官方文档（充其量是非常通用的）并在 zeek 节点之间设置了无密码 SSH 身份验证。

我还抢先/usr/local/zeek在所有主机上创建了路径，并授予 zeek 用户对该目录的完全权限。文件说The Zeek user must be able to either create this directory or, where it already exists, must have write permission inside this directory on all hosts.

该文件还说on the worker nodes this user must have access to the target network interface in promiscuous mode.

我的 zeek 用户是 sudoer 并且是所有 3 个节点上的 netdev 组的成员。然而，集群部署失败。显然，当 zeekctl 与工作人员建立 SSH 连接时，它无法控制网络接口并设置上限。

最终，我能够按照这篇文章成功运行集群 - 但是它需要您将整个集群设置为 root，如果可能的话，我想避免这种情况。

所以我的问题是，有什么明显我遗漏的东西吗？据我所知，这个设置应该可以工作，否则我不知道如何强制 zeekctl 在它应该在工作人员上运行的每个 SSH 命令之前运行“sudo”，或者如何满足这个要求。

任何指导将不胜感激，谢谢！

Zeek 是否允许检查 RTP 标头？

据我所见，还没有添加 RTP 分析器。所以我对这个话题还有另一个问题。是否有任何现有的指南或教程来解释我如何自己开发一个协议的分析器，或者我应该只基于现有的代码？

我尝试在 Bro/Zeek 中使用 GeoIp 功能。

来自官方Zeek 文档：

如果您看到类似于“无法打开 GeoIP 位置数据库”的错误消息，那么您可能需要重命名或移动您的 GeoIP 位置数据库文件。如果 mmdb_dir 值设置为目录路径名（默认情况下未设置），则 Zeek 会在该目录中查找位置数据库文件。

好的，mmdb_dir没有设置：

我从 Maxmind 下载了 mmdb 文件并将它们复制到 pcap 文件夹中。我不想将它们添加到默认路径中，而是mmdb_dir永久配置。这可能吗？如何做到这一点？

额外信息：我在使用以下命令启动的 docker 容器中运行 3.0.1 版：

GitHub 上容器描述的链接：https ://github.com/blacktop/docker-zeek 。

将*.mmdb文件复制/挂载到/usr/local/share/GeoIP它时工作正常。

更新：我添加了 redef （感谢Christian）/usr/local/zeek/share/zeek/site/local.zeek：

但是数据库仍然没有加载，除非我告诉zeek使用local配置（RTFM）。

我正在尝试在 Zeek 中编写我的第一个脚本，该脚本将允许对本地网络中客户端发送和接收的 TLS 数据包段进行统计（相同大小的数据包数量，发送数据包的 dest ip 列表）。不幸的是，我找不到合适的活动或指南来帮助我找到解决方案。我可以得到这个建议吗？

我正在尝试配置 Zeek 以将文件（每个文件）存储在磁盘上，但没有任何成功。我正在使用的操作系统：Debian 10。

到目前为止我做了什么：

• 我已经安装了这个模块：https ://github.com/hosom/file-extraction （即使在关注了这个网站https://www.ericooi.com/zeekurity-zen-part-vi-zeek-file-analysis-框架，我无法让它发挥作用）。

• 我已经加载了 frameworks/files/extract-all-files 脚本。

检查loaded_scripts.log后，我可以看到脚本已加载

我是 Zeek 的初学者，我想学习如何启用 zeek 来保存文件（即遍历网络）并存储在磁盘上。唯一被存储的文件类型：HTTP 和 SSL。

我确定我犯了很多错误，但我找不到正确的方法。

编辑

我正在使用的 Zeek 版本：zeek 版本 4.1.0-dev.545。

我正在处理流量。我没有对 pcap 进行任何尝试，但我会尝试使用“zeek -r the.pcap policy/scripts/frameworks/files/extract-all-files.zeek”的建议。

在 Zeek 服务器上，我安装了（为了测试）一个 FTP 和一个 HTTP 服务器。在 html 文件夹中，我创建了一个 pdf 文件（以便稍后下载）。我放了两个文件（一个 pdf 和一个纯文本文件），然后我下载了（使用本地网络中另一台计算机上的浏览器）该 pdf 文件。结果，我可以看到（查看 ftp.log 和 http.log）我提到的所有文件，但这些文件没有存储在磁盘上。我的疑问是：它们应该由 Zeek 存储吗？