システムで bro を正常に構成しました。OS は centos 7 です。YouTube や Facebook などのソーシャル サイトなどのマルチメディア トラフィックを監視する必要があります。facebook と youtube を使用している間、私は数分間仲間を始めましたが、http ログファイル nithir facebook に youtube に関する情報はありません。Facebookはhttpではなくhttpsを使用しているため、これはプロトコルの問題だと思いますが、なぜyoutubeなのかわかりません。
正しいインターフェイスを設定した後、次の手順に従いました。
[BroControl] > install
それで
[BroControl] > start
しかし、http.log に youtube や facebook の情報が見つかりませんでした。そのような Web サイトのトラフィック情報を取得するにはどうすればよいですか?
問題は、SSL で暗号化されたトラフィックが魔法のように復号化され、http.log. もう一度見てみると、YouTube も HTTPS 上で実行されていることがわかります。
SSL/TLS 接続を傍受して中間者として行動するようなことをしていない限り、コンテンツを表示できるとは期待できません。あなたが見えなければ、ブロも見えません。:)
適切に構成されていることを確認する場合は、 を見conn.logて、接続が行われていることを確認するのが最適です。それを行ったらUID、他のログで値を検索すると、SSL 証明書データが見つかっていることがわかると思います。
色々思い浮かびます
1) の内容は/usr/local/bro/etc/node.cfg? スパンまたはタップを介してトラフィックが通過すると予想されるインターフェイスであることを確認してください。
2)tcpdump -i <interface>インターフェイスが質問 1 の場所で実行します。
3) 実行/usr/local/bro/bin/broctl diagして、問題があるかどうかを確認します。
4) 実行/usr/local/bro/bin/broctl statusして、すべてが実行されていることを確認します。
インターフェイスが間違っている場合、解決策は簡単かもしれません。