如何使用 bro 从 pcap 文件生成 software.log?
How to generate the software.log from a pcap file using bro?
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认的 bro -r my.pcap 似乎生成了一些日志文件,但不是这个。在谷歌上搜索关于在末尾添加 local 应该修复它,但它没有。
默认情况下,软件日志只会跟踪 "local" 主机的软件。 Bro 这样做是因为它将已知软件存储在内存中,如果它默认跟踪所有发现的软件,它将很快消耗所有可用内存。
你有两个选择,你可以告诉 Bro 你的本地地址 space 或者你可以告诉 Bro 跟踪所有软件。您还需要加载将软件信息提供给软件框架的脚本,我们将在此处加载 local.bro,其中包括加载所有这些脚本的行。
通知兄弟本地地址space:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
或
通过加载调优脚本使软件框架跟踪所有软件,该脚本可为所有主机启用所有内置资产跟踪:
bro -r my.pcap tuning/track-all-assets.bro local.bro
或
更深入的回答,你也可以直接在软件框架中调整选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro
我正在尝试从我拥有的 PCAP 文件生成 software.log 文件,默认的 bro -r my.pcap 似乎生成了一些日志文件,但不是这个。在谷歌上搜索关于在末尾添加 local 应该修复它,但它没有。
默认情况下,软件日志只会跟踪 "local" 主机的软件。 Bro 这样做是因为它将已知软件存储在内存中,如果它默认跟踪所有发现的软件,它将很快消耗所有可用内存。
你有两个选择,你可以告诉 Bro 你的本地地址 space 或者你可以告诉 Bro 跟踪所有软件。您还需要加载将软件信息提供给软件框架的脚本,我们将在此处加载 local.bro,其中包括加载所有这些脚本的行。
通知兄弟本地地址space:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
或
通过加载调优脚本使软件框架跟踪所有软件,该脚本可为所有主机启用所有内置资产跟踪:
bro -r my.pcap tuning/track-all-assets.bro local.bro
或
更深入的回答,你也可以直接在软件框架中调整选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro