私が持っている PCAP ファイルから software.log ファイルを生成しようとしています。デフォルトbro -r my.pcapではいくつかのログ ファイルが生成されるようですが、このファイルは生成されないようです。最後に追加することについてグーグルで調べた後local、それを修正することになっていますが、そうではありません。
1 に答える
5
デフォルトでは、ソフトウェア ログは「ローカル」ホストのソフトウェアのみを追跡します。Bro がこのように動作するのは、既知のソフトウェアをメモリに保存し、検出されたすべてのソフトウェアをデフォルトで追跡すると、使用可能なすべてのメモリをすぐに消費してしまうからです。
2 つのオプションがあります。Bro にローカル アドレス スペースを通知するか、Bro にすべてのソフトウェアを追跡するように指示することができます。また、ソフトウェア情報情報をソフトウェア フレームワークに供給するスクリプトをロードする必要がありますlocal.bro。これらのスクリプトをすべてロードするための行が含まれています。
Bro にローカル アドレス空間を通知します。
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
また
すべてのホストのすべての組み込み資産追跡を有効にするチューニング スクリプトをロードして、ソフトウェア フレームワークがすべてのソフトウェアを追跡するようにします。
bro -r my.pcap tuning/track-all-assets.bro local.bro
また
より深い答えを得るには、ソフトウェア フレームワークのオプションを直接調整して、すべてのソフトウェアを追跡することもできます。
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro
于 2016-06-28T12:14:03.643 に答える