參考
zeek(bro)讀取pcap包後,預設狀態輸出數個log檔案,主要分以下幾個類別:
診斷日誌:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log
會話日誌:conn.log
告警資訊:weird.log 協議錯誤、notice.log bro指令碼產生的告警
協議解析日誌:dns.log、files.log、http.log、sip.log、snmp.log、ssh.log、ssl.log、x509.log 等等
檔名 作用
conn.log 關於連線的日誌
dpd.log 非標準埠協議的日誌
dns.log dns活動日誌
ftp.log ftp會話活動日誌
files.log http ftp smtp 檔案日誌
http.log http請求和響應日誌
known_certs.log ssl證書
smtp.log smtp活動日誌
ssl.log ssl會話,包括使用的證書
weird.log 意料外的協議層活動日誌
x509.log 此日誌檔案提供了分析的資訊證書x509。
intel.log 此日誌檔案提供有關使用智慧型框架檢測到的模式的資訊。
將本地解析配置檔案新增到bro
以下我將通過乙個示例來說明,本地bro解析配置檔案為bro_parse_jd.bro。
在/usr/local/bro/share/bro/site路徑下建立乙個名為harbian的目錄,並將bro_parse_jd.bro檔案放置在該目錄中。然後在harbian目錄中建立乙個名為__load__.bro的檔案,並在 __load__.bro檔案中新增以下行:
@load ./bro_parse_jd.bro.
__load__.bro
檔案僅用於在啟動bro時自動載入當前目錄中的bro配置檔案。此外,我們還需要將以下行新增到檔案/usr/local/bro/share/bro/site/local.bro中:
@load ./harbian
然後使用以下命令重啟bro服務:
# systemctl restart broshell指令碼學習 三
time for i in seq 11111 do count echo expr length done time 表示打出當前指令碼執行時間,後面的語句 表示求字元長度 變數的數值計算 a xx b 只能計算整數 變數在前,先輸出變數值,變數在後,就是先運算後輸出變數的值 表示冪運算 判斷檔案...
shell 指令碼學習 三
printf 命令的語法 預設不會像 echo 一樣自動新增換行符 printf format string arguments.format sting 格式控制字串 arguments 為引數列表 bin bash printf 10s 8s 4s n 姓名 性別 體重kg printf 10s...
Perl指令碼學習筆記(三)
21.注意這幾種安裝模組的方法 perl mcpan e shell perl mcpan e install padwalker cpan module corelist lwp cgi prototype 22.看看這些賦值語句 rocks 0 talc rocks 1 mica rocks 0...