我试图从我拥有的PCAP文件生成software.log文件,默认bro -r my.pcap似乎生成了一些日志文件,但不是这个。谷歌搜索结束后添加local应该修复它,但它没有。
答案 0 :(得分:4)
默认情况下,软件日志仅跟踪“本地”主机的软件。 Bro的行为方式是因为它将已知软件存储在内存中,如果它默认跟踪所有发现的软件,它将非常快地消耗所有可用内存。
您有两个选择,您可以告知Bro当地的地址空间,也可以告诉Bro跟踪所有软件。您还需要加载提供软件信息信息的脚本到我们将在此加载的软件框架中,加载local.bro,其中包括加载所有这些脚本的行。
告知Bro本地地址空间:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
或
通过加载调整脚本使软件框架跟踪所有软件,该脚本为所有主机启用所有内置资产跟踪:
bro -r my.pcap tuning/track-all-assets.bro local.bro
或
要获得更深入的答案,您还可以直接调整软件框架中的选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro