pcap ファイルから考えられるすべてのプロトコルのすべてのファイルを抽出することを目的として、bro スクリプトを作成しました。しかし、すべてのログを書きたくありません。Bro は、各プロトコルのログ ファイルを作成します。例: 「http.log」、「smtp.log」など。「weird.log」も生成されます。私の pcap ファイルは大きい (20 GB) ため、各ログ ファイルには 30 MB を超える情報が含まれています。このログ生成により、ファイル抽出のパフォーマンスが低下します。次の行で「conn.log」を無効にできますLog::disable_stream(Conn::LOG)が、すべてのプロトコル ログはどうなりますか?? これは私のスクリプトです
@load base/files/extract
event bro_init()
{
Log::disable_stream(Conn::LOG);
}
event file_sniff(f: fa_file, meta: fa_metadata)
{
local ext = "";
if ( meta?$mime_type )
ext = split_string(meta$mime_type, /\//)[1];
local fname = fmt("%s-%s.%s", f$source, f$id, ext);
Files::add_analyzer(f, Files::ANALYZER_EXTRACT, [$extract_filename=fname]);
}