个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认的 bro -r my.pcap 似乎会生成一些日志文件,但不会生成此日志文件。在谷歌搜索后,在最后添加 local 应该可以修复它,但事实并非如此。
最佳答案
默认情况下,软件日志将仅跟踪“本地”主机的软件。 Bro 这样做是因为它将已知软件存储在内存中,如果它默认跟踪所有发现的软件,它将很快消耗所有可用内存。
您有两个选择,您可以告知 Bro 您的本地地址空间,也可以告诉 Bro 跟踪所有软件。您还需要加载脚本,将软件信息信息输入到软件框架中,我们将通过加载 local.bro 来加载该软件框架,其中包括加载所有这些脚本的行。
通知 Bro 本地地址空间:
bro -r my.pcap“Site::local_nets+={192.168.0.0/16,10.0.0.0/8}”local.bro
或
通过加载调整脚本使软件框架跟踪所有软件,该脚本为所有主机启用所有内置 Assets 跟踪:
bro -r my.pcap adjustment/track-all-assets.bro local.bro
或
要获得更深入的答案,您还可以直接调整软件框架中的选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro
关于intrusion-detection - 如何使用 bro 从 pcap 文件生成 software.log?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38075471/
24
4
0
我正在尝试在我运行 Ubuntu 16.04 的机器上安装 Bro,但在 bro 启动时我遇到了以下问题。它有多个错误,请协助解决这些错误。 [BroControl] > start starting
我已经编写了一个签名来匹配 http 响应 中的小型 iframe。 这工作正常,我在 signatures.log 和 notice.log 中得到一个条目。 我想提取任何命中此 sig 的文件,以
所以现在我正在研究使用 AST 的 BOR-CSET 约束集和 BRO 约束集。我看了书和网上看,但我还是不太明白它们之间的区别,它们对我来说似乎是一样的,谁能更清楚地解释它们之间的区别是什么? 最佳
我使用以下 tcpdum 命令捕获了一些数据。 tcpdump -i eth1 -w eth1_data.pcap -X 之后,我运行了以下命令以使用 Bro 分析 eth1_data.pcap 文件
如何访问 Bro conn.log 中的列名称,以便查看字段的名称? 最佳答案 如果您输入: head -5 conn.log 您将看到列名称和类型。然后您可以使用 bro-cut 提取数据: c
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认的 bro -r my.pcap 似乎会生成一些日志文件,但不会生成此日志文件。在谷歌搜索后,在最后添加 local 应该
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许在 Stack Overflow 上提出有关通用计算硬件和软件的问题。您可以编辑问题,使其成为
我正在尝试查询 MySQL 数据库 statement = conn.createStatement(); String sql = "select * from file_post where ga
我一直在尝试安装 bro pages ,但我碰壁了。 我已经成功升级到 Ruby 2.1.0: craig@Craig-loaf:~$ ruby -v ruby 2.1.0p0 (2013-12-25
我是一名优秀的程序员,十分优秀!