问题标签 [zeek]

此问题适用于 Linux/Mac；如果将文件解压缩到 Windows 盒子上，我什至认为这些文件不会带有斜杠。

您好，我需要打开流行的 BRO IDS 系统输出的日志文件。这些文件是只读的，我需要在不更改文件名的情况下处理它们的内容。

出于某种原因，Bro 文件名采用以下格式：“conn.19/00/00-22/00/00.log”。（也是 .gz 版本，带有斜杠）我尝试在我的 Mac 上使用默认设置运行最新的 Bro 实例，它生成的日志文件具有相同的正斜杠模式，所以这是其他人做出的有意识的决定，我会必须解决。

在将文件作为 Java 单元测试加载时，通过

File("conn.19/00/00-22/00/00.log")

或通过网址

getClass().getClassLoader().getResource("conn.19/00/00-22/00/00.log")

我得到了正斜杠被解释为不存在目录的预期问题。

**我发现了一堆关于文件名中的斜线的其他被否决的问题，主要是由想要制造此类问题的人提出的。我正在寻找一种在 Java 中处理这些错误文件名的解决方案。

如果我可以将文件数据输入到 InputStream，我会很高兴。

更新 1：这作为更新比作为评论更有效，因为它改变了问题的性质。

我发现在 MacOS 和可能的 Linux 中，Finder GUI 应用程序显示带有正斜杠的文件名，如下所示：

但是在终端中我看到了这个：

最后，File.list() 命令也这样解释它：

所以解决方案是在读取文件时使用冒号'：'字符。原来这是一个兔子洞，可能涉及将'：'编码为“％3a”或双重编码为​​“％253a”。在我的排列中，这些都没有起作用。

请参阅： JDK-7037120：java.net.URI 中的身份违规

访问文件名中带有冒号的存档文件会引发 NullPointerException 或 AssertionError

我有多个按日期命名的目录（例如：2017-09-05），并且在这些目录中包含来自 BRO IDS 的多个 log.gz 文件。我正在尝试进入每个目录，并仅按名称获取特定的 log.gz 文件，然后使用 rysnc 将它们发送到远程系统。日志文件如下所示：app_stats.00:00:00-01:00:00.log.gz我正在尝试使用通配符来完成此操作。

前任：rsync -avh --ignore-existing -e ssh -r /home/data/logs/2017-09-* {dns,http}.*.log.gz / root@10.23.xx.xx:/home/pnlogs/

这很接近，但它只是复制每个文件夹中的所有文件，而忽略了我尝试获取 http 和 dns 日志的尝试，如示例中所示。这可以在一行中完成吗？我需要多个吗？

我想每 10 秒收集一次流量统计信息，我发现的唯一工具是 connection_state_remove 事件，

如何处理在此期间结束时未删除的那些连接。如何从他们那里获得统计数据？

尝试使用以下命令运行conn目录中的main.bro文件时：

我收到以下错误：

我的目标： 返回orig_bytes和resp_bytes不为空的 conn.log 文件，因此我试图在 main.bro 文件中的这两个变量之后摆脱 & 可选标志。代码的所有其他方面都是相同的。

旁注：我设法检索了 conn.log 文件，并对 /scripts/site/ 中的 local.bro 文件进行了调整

谢谢你的帮助。

我正在尝试在我的 bash 终端中运行 bro。我有一个重复的local.bro文件，我将其重命名为localv2.bro，并将其放在我的工作目录/home/bibin中，因此它不在默认路径中。我只是想做一个简单的签名匹配，因此我signature.sig在目录中创建了一个文件。在我的localv2.bro文件中，我尝试使用两种方式：

和

该signature.sig文件具有来自 bro.org 站点的签名 my-first-sig示例。

当我尝试执行此命令时，在终端中：

我收到一条错误消息：

我也尝试过以不同的方式进行操作：

这也给了我同样的无法识别的字符错误。

我做错了什么，请您指导我解决问题吗？

我一直在OpenStack中用BRO做一些实验，首先我需要用BRO拦截所有的RabbitMQ消息，但是我对这个工具不是很熟悉，我已经按照以下git博客的步骤进行操作 https://github.com/packetsled/bro_amqp_plugin 并且有错误 错误

有人知道我的步骤有什么问题吗？非常感谢！

我正在尝试使用将数据发送到 Elasticsearch，logagent但是虽然发送数据似乎没有任何错误，但并未在 ELK 中创建索引。我试图通过 Kibana GUI 创建新的索引模式来查找索引，但索引似乎不存在。这是我logagent.conf现在的情况：

也许我必须手动创建索引映射？我不知道。

感谢您的任何建议或见解！

I'm using Bro to crunch a whole lot of pcap files, so I want to run a bunch of instances in parallel, but I'm worried that they will trip over each other accessing the persistent state file (.state/state.bst). Is there any way to tell Bro that it should neither read nor write any persistent state, no matter what the scripts might want? I cannot find anything relevant in the manual. Making .state an inaccessible directory has the desired effect, except that (reasonably enough) Bro issues a warning about not being able to get in there, which I would prefer to avoid (I'd have to filter it out at a higher level).

我是 BRO 的新手，刚开始在 BRO 上测试签名。我有一个脚本 main.bro 和一个签名文件 protosigs.sig。这个想法是比较签名并在重写的事件函数 - signature_match 中做一些事情。我尝试使用以下措施来测试 pcap 文件，但测试没有生成 notice.log。似乎函数 - signature_match 没有被调用。谁能让我知道这里发生了什么？非常感谢！

我如何测试脚本和签名：

我的签名：

我的脚本 - main.bro：

Hydra 的输出使用hydra -L ~/Documents/wordlists/Aliases.txt -P ~/Documents/wordlists/shortlist.txt -M servers.txt ssh -t 4 -V

sharp67是 PAM 中的用户，aaron1但不是。

以下是试图规避我当前问题notice.log的片段。如果AUTH_PRIV在. 但是，虽然它可以工作，但它没有使用正确的 orig_h IP。它使用本地 ip 而不是我在默认中看到的 IP 。Syslog::Password_GuessingSyslog::Password_Guessing/usr/local/bro/share/bro/policy/protocols/ssh/detect-bruteforcing.brosyslog.logSSH::Password_Guessing

目前，SSH::Password_Guessing除非用户收到 PAM 错误，否则默认值不起作用user unknown。

/var/logs/secure from brotest-01 while using sharp67

这是/var/log/secure on brotest-01 for aaron1

如果用户在ssh.logPAM 中不存在，该auth_success字段几乎会立即从-变为 ，F而如果用户存在，该auth_success字段将保持-更长的时间，我相信这就是它无法生成SSH::Password_Guessing.

我真的不知道为什么会发生这种情况。PAM 有问题吗？PAM 是否会断开连接，然后不允许 Bro 将其记录为失败的 SSH 尝试？我是否需要阻止 PAM 断开连接，或者我是否应该找到一种方法来使用 SSH 连接的 IP 而不是生成系统日志的 IP？任何帮助或输入将不胜感激，谢谢。

[编辑]：以下是我对 `/usr/local/bro/share/bro/base/protocols/syslog/main.bro 所做的更改