在Zeek(bro)NSM中运行自定义脚本并在日志文件中生成通知的步骤?

时间:2019-11-13 19:12:49

标签: logging network-analysis bro

我是Zeek NSM的初学者。我编写了一个脚本,该脚本仅生成notice logs。我不知道该脚本应该放在哪里,或者应该遵循哪些步骤来生成notice logs或我的custom logs

我已经阅读了Zeek的文档,并弄清楚了这些基本步骤。

  1. /nsm/bro/share/bro/site/中使用您的脚本名称创建一个文件夹。

  2. 将脚本放置在此文件夹中。

  3. 制作一个新脚本main.bro并在其中写入@load <mycustomScript>.bro

  4. 比在loaded_scripts.bro中写文件夹名称(在其中放置脚本)。

  5. 比运行以下命令...

    i。 broctl stop

    ii。 broctl check

    iii。 broctl deploy

    iv。 broctl start

您将在同一文件夹(我们将脚本放入其中)中找到日志。但是完成所有这些步骤之后,该文件夹中仍然没有日志。

....................................... 生成通知日志的基本脚本: ....................................... 

@load base/frameworks/notice

export {
   redef enum Notice::Type += {
    Test_Notice,
 };

 event bro_init()
 {
   NOTICE([$note=Test_Notice, $msg=fmt("Testing the Notice Framework")]);
 }

请告诉我这是运行自定义脚本的命令的写入顺序吗?还是有什么问题?还是需要 运行脚本并生成通知日志 的一些其他任务?

我发现这些步骤正确。 /opt/bro/share/bro/site/local.bro

您可以在/opt/bro/share/bro/policy/中添加自定义脚本,然后在/opt/bro/share/bro/site/local.bro中引用这些脚本。 下面是如何执行此操作的示例:

  • /opt/bro/share/bro/policy/下创建一个新目录。 sudo mkdir /opt/bro/share/bro/policy/custom-scripts

  • 将您的自定义脚本和__load__.bro添加到此目录。

  • 修改__load__.bro以引用自定义脚本目录中的脚本:

  • @load ./script1.bro @load ./script2.bro

  • 编辑/opt/bro/share/bro/site/local.bro,以便通过在文件底部添加/opt/bro/share/bro/policy/custom-scripts并保存文件来将新脚本加载到@load custom-scripts中。

    < / li>

  • 重启兄弟。 sudo so-bro-restart

  • 检查/nsm/bro/logs/current/loaded_scripts.log以查看是否已加载您的自定义脚本。

  • 检查/nsm/bro/logs/current/reporter.log是否有线索,如果您的自定义脚本无法正常工作。

  • 要检查并查看Bro脚本是否已触发通知,请转到Kibana并检查我们的Bro Notices仪表板。或者,您可以检查/nsm/bro/logs/current/notice.log中的条目。

1 个答案:

答案 0 :(得分:0)

我发现这些步骤是正确的。 /opt/bro/share/bro/site/local.bro

您可以在 /opt/bro/share/bro/policy/ 中添加自定义脚本,然后在 /opt/bro/share/bro/site/local.bro 中引用这些脚本。以下是如何执行此操作的示例:

/opt/bro/share/bro/policy/ 下创建一个新目录。须藤 mkdir /opt/bro/share/bro/policy/custom-scripts

将您的自定义脚本和 __load__.bro 添加到此目录。

修改 __load__.bro 以引用 custom-scripts 目录中的脚本:

@load ./script1.bro @load ./script2.bro

编辑 /opt/bro/share/bro/site/local.bro 以便在 /opt/bro/share/bro/policy/custom-scripts 中加载新脚本,方法是在文件底部添加 @load custom-scripts 并保存文件。

重启兄弟。 sudo so-bro-restart

检查 /nsm/bro/logs/current/loaded_scripts.log 以查看您的自定义脚本是否已加载。

如果您的自定义脚本未按预期工作,请检查 /nsm/bro/logs/current/reporter.log 以获取线索。

要检查 Bro 脚本是否触发了通知,请转到 Kibana 并检查 Bro Notices 仪表板。或者,您可以检查 /nsm/bro/logs/current/notice.log 中的条目。

相关问题
最新问题