![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
zeek/bro脚本
湫荷海棠
这个作者很懒,什么都没留下…
展开
-
bro/zeek新的Configuration框架
用途: 提供了一种动态更新zeek配置的方法。 例如:在以前如果要定义类似于暴力破解尝试次数的变量,一般使用如下形式 const password_guesses_limit: double = 30 &redef; const 申明一个常量,再用&redef表示可以在其他地方使用,以下形式修改它 redef SSH::password_guesses_limit = 2 ; 这种方式的缺点是,如果要更新她的值,就必须deploy重新启动,不能做到在保留常量特性的情况下动态的修改原创 2020-08-07 15:46:17 · 400 阅读 · 0 评论 -
zeek中Site::local_nets,Site::private_address_space和Site::neighbor_nets的区别
Site::local_nets 本地IP地址的集合,其实是配置在zeek/bro的根目录下etc文件夹中的networks.cfg中的值 这是 Site::private_address_space 一般默认是下面这些ip地址,改变networks.cfg不会改变这里的值 Site::neighbor_nets 文档里说这些是被认为邻居的ip地址,默认是空值. 其实我看这里是作为全局变量被设置...原创 2020-04-14 10:36:07 · 341 阅读 · 0 评论 -
Bro/Zeek无报错的崩溃的一个原因
情况:bro/zeek程序崩溃,多次启动无效,stdeer.log和stdout.log没有错误提示 查看diag文档,没有发现明显错误 原因说明: 这种情况,目前我所知的有两个原因: 1. 当用input framework读取某些数据的时候,比如txt文件,然后这个txt文件又被某些其他数据源写入,当这个txt过大的时候,会出现bro/zeek崩溃的情况,不过这种情况一般是启动成功之后,没过...原创 2020-01-03 16:29:47 · 569 阅读 · 0 评论 -
(zeek流量分析)在日志中使用中文
(zeek流量分析)在日志中使用中文 在zeek的最新版本(3.0.0)中,新增加了对UTF-8的支持,使得日志中可以出现中文字符 具体效果如下: 使用方法如下: 1.获取相应日志流的filter对象,或者新建一个filter对象: 2.配置filter对象的config属性 3.重新给目标日志流添加filter对象 ...原创 2019-11-15 18:14:59 · 1342 阅读 · 0 评论