我已成功配置我的系统上的兄弟。 OS是centos 7.我必须单调多媒体流量,例如youtube和一些像facebook这样的社交网站。我在使用facebook和youtube的时候开始了一些小小的但是他们在http日志文件nithir facebook中没有关于youtube的信息。至于我认为这是一个协议问题,因为Facebook使用https而不是http,但我不知道为什么youtube。
设置正确的界面后,我按照以下步骤操作。
[BroControl] > install
然后
[BroControl] > start
但我没有在http.log中找到任何youtube或facebook信息。如何获取此类网站的流量信息?
答案 0 :(得分:2)
问题是您希望SSL加密流量能够神奇地解密并显示在http.log中。如果你再看一遍,你会发现YouTube也是通过HTTPS运行的。
除非您正在采取行动拦截并充当SSL / TLS连接的中间人,否则您无法期望能够看到内容。如果你看不到它,Bro也看不到它。 :)
如果要验证是否已正确配置,最好查看conn.log以验证连接是否正在进行。执行此操作后,在其他日志中搜索UID值,我强烈怀疑您将看到您正在查找SSL证书数据。
答案 1 :(得分:0)
有些事情会浮现在脑海中
1)/usr/local/bro/etc/node.cfg的内容是什么?确保它是您希望通过跨度或点击交叉的界面。
2)运行tcpdump -i <interface>接口来自问题1。
3)运行/usr/local/bro/bin/broctl diag以查看是否存在任何问题。
4)运行/usr/local/bro/bin/broctl status以验证一切正在运行。
如果界面错误,解决方案可能很简单。