ZEEK bro 基礎實踐 一

2021-10-03 16:01:15 字數 2220 閱讀 3945

識別分隔符

$head -n 1 conn.log

#separator \x09

$echo -n -e 'x09'|hexdump -c

000000    \t

000001

使用分隔符

$awk '' notice.log|tail

$awk -f '\t' '' notice.log|tail

實現水平展示

$less conn.log

$less -s conn.log

列tags

$grep ^#fields conn.log|tr '\t' '\n'

$bro-cut ts id.orig_h id.orig_p id.resp_h id.resp_p proto$head -n 1000 conn.log|awk '$3=="10.100.234.25"'|bro-cut -d

$head conn.log|awk '/^#/'

$head -n 1000 conn.log|awk '/^#/  || $3=="10.100.234.25" '|bro-cut -d

使用cf  時間顯示切換

$tar zxf cf.tar.gz

$cd cf-1.2.5/

$configure && make && make install

$which cf 

$du -h conn.log

$time bro-cut -d /dev/null

$time cf /dev/null

使用並行命令

$ls -l *.gz

$time zgrep 10.10.243.24 conn* >/dev/null

$time ls conn*|parallel "zgrep 10.100.243.24 {}" >/dev/null

$time gzcat conn*|awk '$3=="10.100.243.22" || $5=="10.100.243.22"' >/dev/null

$time ls conn*|parallel 'gzcat {}|awk '\''$3=="10.100.243.22" || $5=="10.100.243.22"'\''' >/dev/null

管理虛擬機器

ubuntu vagrant vm

manager&proxy worker worker

$vagrant status

$vagrant ssh manager

#apt-get updatae

#git clone --recursive git:

#make install

#ssh 10.1.1.20 "mkdir .ssh"

#scp //root/.ssh/id_rsa.pub 10.1.120:~/.ssh/authorized_key

broctl 的基礎命令

/usr/local/bro

node.cfg

進入 brocontrol

>install

>exit

>check

#/usr/local/bro/bin/broctl start

#/usr/local/bro/bin/broctl status

#cat /usr/local/bro/logs/current/conn.log

$broctl

>check

>install

>start

>status

>restart

>stop

>top

>df 

>exec

>netstats

q 退出 

$broctl config|less

exec命令使用

exec

進入/usr/local目錄

cat scripts/hello.sh

#!/bin/bash

echo "hello world!">/tmp/hello

進入/usr/local目錄

#cat /demo/hello.bro

event bro_init()

}使用 awk

Linux基礎實踐

ifconfig eth 0 192.168.3.251 再用 ifconfig 查詢會發現一塊虛擬網絡卡 eth 0 取消 ifconfig eth0 0 down 新增 ifconfig eth0 0 up setup 圖形介面設定ip service network restart 重啟網路服...

網路基礎實踐

應用層 http,ssh 要幹什麼 傳輸層 tcp,udp 傳輸方式 資料段 網路層 ip 確定路線 資料報 資料鏈路層 建立鏈路的,只能建立同一網段的 資料幀 物理層 具體傳輸的 位元流 windows中檢視ip 網路共享,或者cmd ipconfig linux中 ifconfig 網絡卡配置檔...

koa基礎實踐

1.訪問靜態檔案 使用中介軟體koa static const koa require koa const static require koa static let server new koa server.listen 8080 訪問靜態檔案 server.use static www 在根目...