bro/zeek新的Configuration框架

最新推荐文章于 2024-06-06 09:58:49 发布
最新推荐文章于 2024-06-06 09:58:49 发布
阅读量425 收藏 1
点赞数
分类专栏: zeek/bro脚本 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18108421/article/details/107861191
版权
本文介绍了如何在Bro/Zeek中动态更新配置,包括使用option声明变量、通过配置文件和Config::set_value函数进行修改。动态修改适用于非pattern、record和table类型的变量,并详细阐述了配置修改的日志记录和前置函数的使用方法。
摘要由CSDN通过智能技术生成

用途:

提供了一种动态更新zeek配置的方法。

  • 例如:在以前如果要定义类似于暴力破解尝试次数的变量,一般使用如下形式
    const password_guesses_limit: double = 30 &redef;
    const 申明一个常量,再用&redef表示可以在其他地方使用,以下形式修改它
    redef SSH::password_guesses_limit = 2 ;

  • 这种方式的缺点是,如果要更新她的值,就必须deploy重新启动,不能做到在保留常量特性的情况下动态的修改配置

使用方式

申明:

option + 变量名+(:类型) = 初始值

module TestModule;
export {
   
    option my_networks: set[subnet] = {
   };
    option enable_feature = F;
    option hostname = "testsystem";
    option timeout_after = 1min;
    option my_ports: vector of port = {
   };
}
  • 其中必须要有初始值,类型可有可无,可以通过初始值推测出来
  • 不必使用&redef也可以使用,redef 关键字在初始化过程中修改它的值

动态修改

配置文件方式修改:
  • Config::config_files中提前加入配置文件路径
    redef Config::config_files += { "/path/to/config.dat" };
  • 以名称空格值得形式修改值
TestModule::my_networks 10.0.12.0/24,192.168.17.0/24
TestModule::enable_feature  T
TestModule::hostname  host-1
TestModule::timeout_after 50.5
TestModule::my_ports 80/tcp,53/udp
  • 注意事项:
  1. interval 类型的变量只能使用秒做单位
  2. 在cluster中,只有manage节点会读取配置文件
  3. 尽量不要使用vacode修改配置文件,因为这些软件有可能在你没修改完之前自动保存,导致出现预料之外的错误
  4. 该方式不支持pattern,record和table类型的变量
  • 脚本例子:
module test;
redef Config::config_files += {
   "/usr/local/zeek/share/zeek/site/config.dat"
最低0.47元/天 解锁文章
湫荷海棠
关注
专栏目录
zeek(bro) 脚本学习 一
lepton126的专栏
10-18 2363
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...
zeekZeek是功能强大的网络分析框架,与您可能知道的典型IDS有很大不同
02-05
Zeek网络安全监视器 网络流量分析和安全监控的框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用
探索网络安全的强大力量:Zeek 网络安全监控框架
最新发布
gitblog_00062的博客
06-06 497
探索网络安全的强大力量:Zeek 网络安全监控框架 项目地址:https://gitcode.com/bro/bro 1、项目介绍 Zeek(前身为Bro)是一个开源的网络流量分析和安全监控框架,它能够为你的网络提供深入的分析和强大的安全保障。其设计目标是让网络监控变得更为高效、灵活,并适应各种复杂的网络环境。 2、项目技术分析 Zeek以其独特的协议解析能力和高度状态化的分析机制脱颖而出。它内置...
探索网络分析境界:Zeek网络安全框架
gitblog_00086的博客
03-20 516
探索网络分析境界:Zeek网络安全框架 项目地址:https://gitcode.com/zeek/zeek Zeek 是一个开源的网络安全分析框架,以其强大的网络流量解析和事件检测能力而闻名。本文将带你深入了解Zeek的核心特性、技术分析及应用场景,帮助你发现其潜力并将其应用到实际工作中。 项目简介 Zeek(原名Bro)是一个由学术界与业界合作开发的网络监控系统。它设计的目标是提供一种有效且...
zeek学习笔记(一) —— 环境搭建
成长之路
08-14 1843
zeek环境搭建
zlogging:适用于Python的BroZeek日志记录框架
03-08
ZLogging-适用于Python的Bro / Zeek日志记录框架 在线文档位于 ZLogging模块在著名的Bro / Zeek网络安全监视器(IDS)的日志记录框架之间提供了易于使用的桥梁。 从3.0版开始, Bro项目已正式重命名为Zeek 。 它最初是从项目开发而来的,该项目是一个基于Bro / Zeek IDS的APT检测框架,并使用高度自定义和可自定义的Python包装器进行了扩展。 安装 笔记 ZLogging支持以上所有版本的Python,包括3.6 pip install zlogging 用法 目前, ZLogging支持Bro / Zeek日志记录框架支持的两种内置格式,即ASCII和JSON。 典型的ASCII日志文件如下所示: #separator \x09 #set_separator , #empty_field (em
Snort、Suricata、Bro/Zeek、OSSEC 之间有什么区别和特点
04-08
Snort、Suricata、Bro/Zeek、OSSEC 都是网络入侵检测系统(IDS)或安全信息与事件管理系统(SIEM)的一部分。它们的区别和特点如下: 1. Snort:Snort 是最早开源的 IDS 系统之一。它使用规则引擎来检测网络流量中...
bro-2.6.1.tar.gz
09-10
1. Bro/Zeek架构:理解其模块化设计,包括网络接口、事件处理、脚本框架等。 2. BroScript:学习Bro的内置脚本语言,用于编写分析规则和自定义行为。 3. 日志和事件:掌握Bro/Zeek如何生成和解释不同类型的日志事件...
使用zeek做HTTP RPC性能检测
robinfoxnan的专栏
07-28 977
*需求**我的需求是在K8S的云上添加自己的非侵入式采集工具,并检测各种后端的RPC性能,比如http_rpc,grpc,mysql,redis,mongodb,以及自定义的rpc等网络交互过程的性能;**解决方案**直接在zeek现有基础上开发脚本,并开发日志读写工具将结果转存到自己的后端;这样就基本实现了我们的需求,后续的工作只是需要扩展各种协议,以及从日志流提取数据;首先,参考HTTP的相关脚本,记录自己需要的数据,写个hello,world。1)讲解了事件与事件队列的原理。...
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用的资源。 您可以在找到发行说明,并在中找到所有更改的完整记录。 要使用Zeek开发分支的最代码,请克隆主git存储库: git clone --recursive https://gith
ZEEKbro)基础实践三
lepton126的专栏
04-03 1233
处理指定行或以下几行的shell脚本 awk '/^[a-z]$/{print NR}' file.txt > line.txt NUM=`cat line.txt | wc -l` a=$[NUM-1] for i in `seq $a` do NR=`sed -n "${i}p" line.txt` NR2=`sed -n "$[i+1]p" line.txt` ...
zeek学习(二)
成长之路
08-14 1097
zeek初识
bro/zeek的安装与使用过程
qq_39446651的博客
11-22 4619
该博客主要的目的是将自己最近安装的bro/zeek进行整理,如有不对的地方希望大佬指正。其整理如下: 首先,我的安装环境是虚拟机ubuntu16.4。 bro/zeek的安装方式有两种,一种是利用容器docker进行安装,一种是单独的安装方式。我将首先讲述第一种安装方式。 一、zeek-docker安装方式 1.安装docker,按照网站上的方式进行安装即可。 https://www.cnblogs.com/blog-rui/p/11244023.html 2.获取开源代码 git clone http
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4764
强大的网络流量分析工具 ZEEK
zeek操作笔记
BGK112358的专栏
01-06 581
zeek二开笔记
zeek学习(三)——包获取_zeek pktdumper(1),2024年最腾讯竟然又偷偷开源了一套Golang原生UI框架
2401_84911309的博客
05-13 970
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更如果你需要这些资料,可以戳这里获取 } void PktSrc::InitSource() { Open(); } void PcapSource::Open() { if ( props.is_live ) OpenLive(); else Open
zeek流量分析工具安装与使用
hxhabcd123的博客
02-21 5780
本文档记录流量分析工具 zeek 的安装过程以及如何使用它来分析 pcap 流量文件
zeek(bro) 脚本学习 三
lepton126的专栏
02-20 2490
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值