Bro/Zeek无报错的崩溃的一个原因

最新推荐文章于 2023-09-25 08:30:54 发布
最新推荐文章于 2023-09-25 08:30:54 发布
阅读量572 收藏 1
点赞数
分类专栏: zeek/bro脚本 文章标签: 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18108421/article/details/103822149
版权

情况:bro/zeek程序崩溃,多次启动无效,stdeer.log和stdout.log没有错误提示

zeekctl deploy部署脚本崩溃
查看diag文档,没有发现明显错误

原因说明:

这种情况,目前我所知的有两个原因:

1. 当用input framework读取某些数据的时候,比如txt文件,然后这个txt文件又被某些其他数据源写入,当这个txt过大的时候,会出现bro/zeek崩溃的情况,不过这种情况一般是启动成功之后,没过多久又崩溃了
2. 加载sig文件,一般用@load-sigs 但是zeek/bro提供了了一种新的加载方式:
redef signature_files += "文件名";

这个方式如果没有正确配置好ZEEKPATH(或BROPATH)环境变量,就会导致zeek/bro这种无报错崩溃的情况出现.如果你用的脚本是从github上下载的,这种情况会特别隐蔽.特别是有可能出现以前可以运行,但是跟换文件路径重新部署,就会报错.

关于signature_files的说明

湫荷海棠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zeek(bro) 脚本学习 一
lepton126的专栏
10-18 2353
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
bro/zeek的安装与使用过程
qq_39446651的博客
11-22 4528
该博客主要的目的是将自己最近安装的bro/zeek进行整理,如有不对的地方希望大佬指正。其整理如下: 首先,我的安装环境是虚拟机ubuntu16.4。 bro/zeek的安装方式有两种,一种是利用容器docker进行安装,一种是单独的安装方式。我将首先讲述第一种安装方式。 一、zeek-docker安装方式 1.安装docker,按照网站上的方式进行安装即可。 https://www.cnblogs.com/blog-rui/p/11244023.html 2.获取开源代码 git clone http
bro terminated immediately after starting; check output with "diag"
maintain 的博客
04-03 1081
安装完BRO后,使用broctl来启动Bro,结果报错: 错误提示如下: bro terminated immediately after starting; check output with “diag” 解决办法:
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5370
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
bro-2.6.1.tar.gz
09-10
总的来说,Bro/Zeek一个强大且灵活的网络安全工具,通过深入理解和有效利用,可以在保护网络免受攻击和监控复杂网络行为方面发挥重要作用。对于任何希望提高网络监控能力的IT专业人员来说,理解和掌握Bro/Zeek的...
zeek_anomaly_detector:ZeekBro 中 conn.log 文件的异常检测器。 全自动
05-29
pyod:PyOD 是一个全面且可扩展的 Python 工具包,用于检测多元数据中的外围对象。 使用 pip pip install zat pyod : pip install zat pyod用法 $ time ./zeek_anomaly_detector.py -a 20 -f sample-logs/conn.log...
bzar:一组用于检测ATT&CK技术的Zeek脚本
05-02
BZAR是一组Bro / Zeek脚本,利用SMB和DCE-RPC协议分析器以及文件提取框架来检测类似ATT&CK的活动,发出通知并写入通知日志。 BZAR和汽车 BZAR是的组成部分。 它最初位于该库中,但是由于对Zeek软件包的要求,因此...
zlogging:适用于Python的BroZeek日志记录框架
03-08
它最初是从项目开发而来的,该项目是一个基于Bro / Zeek IDS的APT检测框架,并使用高度自定义和可自定义的Python包装器进行了扩展。 安装 笔记 ZLogging支持以上所有版本的Python,包括3.6 pip install zlogging ...
bro-3.10.zip
02-26
Bro(现更名为Zeek)是一个强大的、开源的网络监控系统,主要用于执行基于会话的网络安全分析。它以其独特的非侵入式监控方式,广泛应用于网络安全防御、入侵检测、日志记录以及网络流量分析等领域。本文将深入探讨...
Python-Malcolm是一个功能强大易于部署的网络流量分析工具套件
08-10
Malcolm是一个功能强大,易于部署的网络流量分析工具套件,适用于完整的数据包捕获工件(PCAP文件)和Zeek日志。
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4595
强大的网络流量分析工具 ZEEK
iOS中使用PLCrashReporter收集Crash
muyu114的专栏
11-02 5731
iOS应用程序在上线过程中可能会出现各种闪退,如果APP经常出现闪退会让一部分用户选择卸载,这样会带来很大的损失,下图(来自于Bugly)可以看出APP出现崩溃后会带来的影响。 对于这些崩溃信息怎么收集分析就是一个很大的问题,通过解析Crash文件可以帮助我们改善APP,修复bug等。收集Crash信息的方式有很多,比较常见的是使用第三方服务,比如友盟、百度统计、Bugly等。(下图为Bug
zeek:一款流量分析探针
最新发布
猪肉炖白菜
09-25 1467
关于Zeek日志文件的介绍,方便你了解zeekZeek一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。.........
bro流量分析(改名zeek)ips,ids
sun007700的专栏
03-21 857
流量分析的瑞士军刀:Zeek - FreeBuf网络安全行业门户 bro流量分析(改名zeek) - babyth - 博客园 bro在计算机取证方面具有十分有效的作用。它可以通过pcap包来获取入侵者留下的痕迹。 Bro Snort Wireshark&Tshark 优势 高级的 异常检测 正则表达式,签名 流量分析 关注数据 连接对象, 事件 数据包, 数据流 协议剖析 可编程性.
ZEEKbro)基础实践三
lepton126的专栏
04-03 1219
处理指定行或以下几行的shell脚本 awk '/^[a-z]$/{print NR}' file.txt > line.txt NUM=`cat line.txt | wc -l` a=$[NUM-1] for i in `seq $a` do NR=`sed -n "${i}p" line.txt` NR2=`sed -n "$[i+1]p" line.txt` ...
Snort、Suricata、Bro/Zeek、OSSEC 之间有什么区别和特点
04-08
3. Bro/ZeekBro/Zeek一个网络流量分析工具,可以生成详细的网络流量日志,并检测并报告可疑行为。它支持自定义脚本和插件,可以为特定的网络环境和需求进行定制。 4. OSSEC:OSSEC 是一个开源的主机入侵检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值