问题标签 [zeek]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
networking - Zeek Workers 无法与 Zeek 代理/管理器通信
我建立了一个小型 zeek 集群并让它运行良好。这是我的粗略设置:
一切都在膨胀。但是,现在除了代理/管理器/记录器本地的 worker-1 之外,没有任何东西被代理。我可以通过 zeekctl 部署、启动和停止工作人员。但是,当检查远程工作人员时,peerstatus 会无限期挂起。
我什至在全新系统上建立了一个新集群,从头开始解决同样的问题。这让我相信它在网络中,但我无法弄清楚它可能是什么。我知道这很模糊,但有没有人至少有一些故障排除的想法让我尝试?
让我知道我还能给你什么。我很感激你能给我的任何帮助!
bro - Zeek/Bro IDS - Sumstats - 数量相似大小的 TCP 段?
我正在尝试在 Zeek 中编写我的第一个脚本,该脚本将允许对本地网络中客户端发送和接收的 TLS 数据包段进行统计(相同大小的数据包数量,发送数据包的 dest ip 列表)。不幸的是,我找不到合适的活动或指南来帮助我找到解决方案。我可以得到这个建议吗?
bro - Zeek 不存储文件,即使在加载脚本之后也是如此。我错过了什么?
我正在尝试配置 Zeek 以将文件(每个文件)存储在磁盘上,但没有任何成功。我正在使用的操作系统:Debian 10。
到目前为止我做了什么:
我已经安装了这个模块:https ://github.com/hosom/file-extraction (即使在关注了这个网站https://www.ericooi.com/zeekurity-zen-part-vi-zeek-file-analysis-框架,我无法让它发挥作用)。
我已经加载了 frameworks/files/extract-all-files 脚本。
检查loaded_scripts.log后,我可以看到脚本已加载
我是 Zeek 的初学者,我想学习如何启用 zeek 来保存文件(即遍历网络)并存储在磁盘上。唯一被存储的文件类型:HTTP 和 SSL。
我确定我犯了很多错误,但我找不到正确的方法。
编辑
我正在使用的 Zeek 版本:zeek 版本 4.1.0-dev.545。
我正在处理流量。我没有对 pcap 进行任何尝试,但我会尝试使用“zeek -r the.pcap policy/scripts/frameworks/files/extract-all-files.zeek”的建议。
在 Zeek 服务器上,我安装了(为了测试)一个 FTP 和一个 HTTP 服务器。在 html 文件夹中,我创建了一个 pdf 文件(以便稍后下载)。我放了两个文件(一个 pdf 和一个纯文本文件),然后我下载了(使用本地网络中另一台计算机上的浏览器)该 pdf 文件。结果,我可以看到(查看 ftp.log 和 http.log)我提到的所有文件,但这些文件没有存储在磁盘上。我的疑问是:它们应该由 Zeek 存储吗?
signature - 如何解决 Zeek 签名中的规则定义两次错误?
我正在尝试学习 zeek 签名
签名文件名:dns.sig
Zeek 文件名:myfirst.zeek
我在第 5 行遇到错误:规则定义了两次。这里有什么问题??
json - 将 zeek 连接数据加载到 pyflink
试图将这样的数据(zeek 连接数据)加载到 pyflink。我的问题是名称带有点的 id 字段,因为它们最初是 zeek 中的元组。
我将不胜感激有关如何执行此操作的任何帮助。
elasticsearch - Zeek日志到麋鹿
我已经在服务器上安装了 elk,在另一台服务器上安装了带有 filebeat 的 zeek。我按照文档安装了每一个,但是 filebeat 没有将 zeek 日志发送到 kibana。顺便说一下,filebeat 基本日志被发送到 kibana,但没有 zeek 日志记录: 1 - 我已启用 zeek 模块 2 - 我已将 load policy/tuning/json-logs.zeek 添加到 local.zeek
python - 在 SIGTERM 或 SIGKILL 之后自动重新启动进程
我尝试编写一个 python脚本来启动一个进程,每当发生事件时,脚本都会终止进程并在延迟后重新启动它。
为了停止进程,我使用了 kill -15 (SIGTERM),后跟使用 psutil 获得的进程的 pid。我已经手动检查 pid 是否正确。
一旦发出 kill 命令,我发现该进程仍然存在,并且它的名称周围有大括号。就像从“zeek -i eth0”到“[zeek]”一样。
我也尝试过使用 SIGKILL,但结果是一样的。
也许它是相关的:这个过程是 Zeek。
一旦我最初尝试手动 SIGKILL 进程(当没有大括号时)并且它起作用了。
zeek - Zeek(Bro)在界面重新启动后崩溃
我对 zeek 软件有一些问题。网络接口 eth0 重新启动后,zeekctl 崩溃了。网络接口重新启动后,有什么方法可以自动重新启动 zeekctl 进程?提前致谢。
awk - 试图在 jq 中重现 awk
序言:企业网络工程师/架构师(非程序员)。
概要:日志从 txt 输出移动到 json
问题:没有成功尝试从正常工作的 awk 数据提取迁移到使用 jq 对 json 使用单线。
活跃的awk:
最终结果:使用 jq 计算 src/dst ip 地址和 dst 端口的重复条目并添加连接的累积持续时间。
示例 JSON 输入
vagrant - Zeek Vagrant 设置
我有三台流浪机器,logger、host1 和 host2。我已经在记录器 VM 上设置了 Zeek。Host1 正在运行 apache 服务器。现在,当我从 host2 VM 与在 host1 上运行的 apache 服务器通信时,我希望 Zeek 记录 http 流量。但是 Zeek 只记录记录器 VM 上的流量,而不记录其他 VM。我什至添加了 promisc 模式,但它似乎不起作用。