zeek基本事件

base/bif/event.bif.bro

原文链接
这里列举独立于协议的事件（部分与TCP和UDP有关）。

1. OS_version_found 当发现操作系统时产生，与p0f有关
2. anonymization_mapping 匿名映射？deprecated，不知道什么意思
3. bro_done bro脚本执行结束
4. bro_init bro脚本开始执行
5. bro_script_loaded 脚本解释器加载脚本时产生此事件
6. conn_stats 当某个TCP连接终止时产生，传递两端的统计数据
7. conn_wrird 当某个连接出现意想不到的活动时产生
8. connection_external 当接收到来自通信子系统的连接时产生
9. connetcion_flow_label_changed 当某个运行在IPv6之上的连接一方改变了流标签时产生
10. connection_reused 当一个连接四元组被重用时产生
11. connection_state_remove 当一个连接的内部状态从内存中移除时产生
12. connection_status_update 在连接还存活时，每隔一个时间段产生一次
13. connection_timeout 当某个TCP连接超时的时候产生
14. content_gap 当Bro在重组的TCP负载流中探测到gap时产生
15. dns_mapping_altered 当某个内部的DNS查找产生了一个和过去不一样的结果时产生
16. dns_mapping_lost_name 当某个内部的DNS查找返回0个结果（zero answers），但是它曾经找到过结果时产生
17. dns_mapping_new_name 当某个内部DNS查找成功（但之前是失败的）的时候产生
18. dns_mapping_unverified 当某个内部DNS查找没有得到结果（但它曾经成功过）时产生
19. dns_mapping_valid 当某个内部DNS查找得到和上一次一样的结果时产生
20. esp_packet 为使用IPv6的ESP（Encapsulating Security Payload）拓展头部的分组（packets）产生
21. event_queue_flush_point 标记事件流中的某一点，在这里点处，事件队列开始刷新
22. file_gap 表示该文件的某个组块丢失
23. file_new 表示开始对某个新文件的解析
24. file_opened 当Bro的脚本解释器打开某个文件时产生
25. file_over_new_connection 表示某文件在某个和原先不同的连接上传输
26. file_reassembly_overflow 表示文件在重组缓冲区上溢出
27. file_sniff 提供某个文件的所有元数据（从文件的开始处算起）
28. file_state_remove 当某个给定文件的分析结束时产生
29. file_timeout 表示文件分析已经超时（由于有一段时间没有关于这个文件的事件产生）
30. finished_send_state 在调用send_state之后生成（所有数据都成功地发送至远端）
31. flow_weird 当一对主机之间产生意料之外的活动时产生（独立于某个特定的连接）
32. gaobot_signature_found Deprecated，不知道啥意思
33. get_file_handle 该事件为文件分析框架提供回馈（关于如何识别逻辑文件，某些数据/输入属于这种逻辑文件）
34. ipv6_ext_headers 为每个包含扩展头部的IPv6分组产生该事件
35. kazza_signature_found Deprecated，不知道啥意思
36. load_sample 有规律地生成，for the purpose of profiling Bro’s processing，不知道啥意思
37. mobile_ipv6_message 为每个使用IPv6移动头部的分组产生
38. napster_signature_found Deprecated，不知道啥意思，又是一个和签名相关的
39. net_weird 当某个没有和特定连接或者主机对绑定的事件发生时产生
40. new_connection 为每个新连接生成
41. new_event 为Bro发起的事件产生的元事件
42. new_packet 为Bro的所有连接处理的分组产生
43. packet_contents 为传输层负载非空的所有分组产生
44. print_hook Deprecated不明所以
45. profiling_update 每当Bro内部的资料收集日志更新时产生
46. protocol_confirmation 当协议分析器（protocol analyzer）确认某个连接确实在使用某协议时产生
47. protocol_violation 当协议分析器发现它所解析的连接所使用的协议与它预想的不同时产生
48. raw_packet 为Bro发现的每一个拥有有效链路层头部的分组产生
49. remote_capture_filter 当某个远程对等端发送给我们一个捕捉过滤器时产生
50. remote_connection_closed 当到某个远程Bro的连接关闭时产生
51. remote_connection_error 当到某个远程Bro的连接遇到错误时产生
52. remote_connection_established 当建立起到某个远程Bro的连接时产生
53. remote_connection_handshake_done 当某个远程连接的初始握手完成时产生
54. remote_event_registered 当每个事件被某个远程对等端注册时产生
55. remote_log 为通信日志消息产生
56. remote_log_peer 为通信日志消息产生
57. remote_pong 当某个远程对等端回答了我们的ping的时候产生
58. remote_state_access_performed 每当某个远程状态访问被本地重放时产生
59. remote_state_inconsistency 当状态同步发现不一致时产生
60. reporter_error 当有通过Bro的reporter框架产生的错误出现时
61. reporter_info 当有通过Bro的reporter框架产生的信息时
62. reporter_warning 当有通过Bro的reporter框架产生的警告出现时
63. rexmit_inconsistency 当Bro探测到某个TCP重传不一致时产生
64. root_backdoor_signature_found Deprecated意义不明
65. rotate_interval Deprecated意义不明
66. rotate_size 意义不明
67. scheduled_analyzer_applied 当看到的某个连接如预期的那样产生
68. signature_match 当签名匹配的时候生成
69. software_parse_error 当协议分析器找到系统上的某个软件的id，但是不能解析它的时候产生
70. software_unparsed_version_found 当协议分析器找到系统上的某个软件的id时产生
71. software_version_found 当协议分析器找到系统上的某个软件的id时产生
72. tunnel_changed 当某个连接的隧道改变时产生
73. udp_session_done 当某个支持协议的UDP会话结束时产生