问题标签 [zeek]

我正在使用安全洋葱图像 16.04.5.6。我是 Bro 的新手，根据这个在当前文件夹中我应该可以找到 http.logs 文件。但是我只看到：

我在这里的常见问题解答中找到了，当我使用 Bro 作为命令行实用程序时，我提供了 -C 参数，我可以看到 http.log

但是当我使用 BroCtl 时，http.log 丢失了我试图改变

但是我的 local.bro 文件中缺少此选项。

最后一个常见问题解答似乎正在工作

但是在我当前的文件夹中我找不到 http.log。

任何想法我现在可以做什么或我错过了什么？

我是 Zeek NSM 的初学者。我编写了一个简单生成的脚本notice logs。我不知道我应该把这个脚本放在哪里，或者我应该按照哪些步骤来生成notice logs或我的custom logs

我已经阅读了文档Zeek并弄清楚了这些基本步骤。

1. /nsm/bro/share/bro/site/使用您的脚本名称创建一个文件夹。

2. 将您的脚本放在此文件夹中。

3. 制作一个新脚本main.bro并在其中写入@load <mycustomScript>.bro。

4. 比将您的文件夹名称（您放置脚本的位置）写入loaded_scripts.bro.

5. 比运行以下命令...

一世。broctl stop

ii.broctl check

iii.broctl deploy

iv.broctl start

您将在同一文件夹（我们放置脚本的位置）中找到日志。但是在完成所有这些步骤之后，该文件夹中仍然没有日志。

............................. 用于生成通知日志的基本脚本： .... ...................................................

请告诉我这是运行自定义脚本的命令写入序列吗？还是有什么问题？还是需要一些额外的任务来运行脚本并生成通知日志？

我将 Zeek 独立用于学习目的，并且在日志文件中遇到以下问题：我缺少当前文件夹中的“loaded_scripts.log”文件。我遵循了 rapid7 和 Zeek 手册中的安装指南，所以我认为安装在这里不是问题。我正在运行一些脚本，并希望它们被加载到“loaded_scripts.log”文件夹中，但我没有看到。手动创建一个是否是个好主意，如果可以，有人可以帮助我在创建文件时应该包含哪些内容以及如何在该日志文件中加载/声明脚本？

我正在测试 Zeek/Bro 在检测不同类型的隐写术方面的能力。现在使用 ICMP 协议后，我正在尝试检查 TCP 协议。我想检测 TCP 中的保留位是否在 TCP 事件的帮助下发生了变化。不幸的是没有成功。

是否可以使用 Zeek 检查 TCP 保留位？

我正在尝试编写一个 Zeek 脚本来将 dns 流量划分为两个日志文件（查询和回复）。错误是事件中代码$TTL=c$dns$TTLs的“字段缺失值”。dns_query_reply我不明白此错误的原因，因为 dns.log 文件正确包含该值。

代码如下：

情况：我已经设置了一个 Zeek/Bro IDS 并让它在一个接口上侦听（使用 iptables 转发流量。

问题：Zeek 被 127.0.0.1/8 流量触发，我找不到任何材料来帮助我忽略 Google 上的这些流量。

问题：不仅限于 127.0.0.0/8 流量，我如何配置 Zeek 使其能够忽略来自某些子网的流量？

附加信息1：我试图添加子网（127.0.0.0/8）$ZEEK_PREFIX/etc/networks.cfg，但它什么也没做

我正在尝试在 3 台 Ubuntu 18.04 LTS 主机上设置 Zeek IDS 集群（v.3.2.0-dev.271）但无济于事 - 运行zeek deploy命令失败并显示以下输出：

我遵循了官方文档（充其量是非常通用的）并在 zeek 节点之间设置了无密码 SSH 身份验证。

我还抢先/usr/local/zeek在所有主机上创建了路径，并授予 zeek 用户对该目录的完全权限。文件说The Zeek user must be able to either create this directory or, where it already exists, must have write permission inside this directory on all hosts.

该文件还说on the worker nodes this user must have access to the target network interface in promiscuous mode.

我的 zeek 用户是 sudoer 并且是所有 3 个节点上的 netdev 组的成员。然而，集群部署失败。显然，当 zeekctl 与工作人员建立 SSH 连接时，它无法控制网络接口并设置上限。

最终，我能够按照这篇文章成功运行集群 - 但是它需要您将整个集群设置为 root，如果可能的话，我想避免这种情况。

所以我的问题是，有什么明显我遗漏的东西吗？据我所知，这个设置应该可以工作，否则我不知道如何强制 zeekctl 在它应该在工作人员上运行的每个 SSH 命令之前运行“sudo”，或者如何满足这个要求。

任何指导将不胜感激，谢谢！

Zeek 是否允许检查 RTP 标头？

据我所见，还没有添加 RTP 分析器。所以我对这个话题还有另一个问题。是否有任何现有的指南或教程来解释我如何自己开发一个协议的分析器，或者我应该只基于现有的代码？

我已经从“ https://github.com/zeek/zeek-aux ”下载了 zeek-aux 压缩源代码。编译时出现以下错误。

'未知的 CMake 命令“FindRequiredPackage”'

任何帮助表示赞赏。

我尝试在 Bro/Zeek 中使用 GeoIp 功能。

来自官方Zeek 文档：

如果您看到类似于“无法打开 GeoIP 位置数据库”的错误消息，那么您可能需要重命名或移动您的 GeoIP 位置数据库文件。如果 mmdb_dir 值设置为目录路径名（默认情况下未设置），则 Zeek 会在该目录中查找位置数据库文件。

好的，mmdb_dir没有设置：

我从 Maxmind 下载了 mmdb 文件并将它们复制到 pcap 文件夹中。我不想将它们添加到默认路径中，而是mmdb_dir永久配置。这可能吗？如何做到这一点？

额外信息：我在使用以下命令启动的 docker 容器中运行 3.0.1 版：

GitHub 上容器描述的链接：https ://github.com/blacktop/docker-zeek 。

将*.mmdb文件复制/挂载到/usr/local/share/GeoIP它时工作正常。

更新：我添加了 redef （感谢Christian）/usr/local/zeek/share/zeek/site/local.zeek：

但是数据库仍然没有加载，除非我告诉zeek使用local配置（RTFM）。