我已经搜索过高低,但是我已经被困了2天了。我试图使用以下方法从文件中将数据读入BRO IDS:
输入:: add_table([$源= sinkhole_list_location, $ name =" sinkhole",$ idx = Idx,$ val = Val,$ destination = sinkhole_list2,$ mode = Input :: REREAD]);
该文件的格式如Bro文档所述:
字段ip ipname 10.10.20.20嗨 8.8.8.8嘿 192.168.1.1哟
然而,每当我在我的Bro IDS上运行这个或任何其他脚本时,我总是让HEADERS不正确。该文件应采用何种格式?
错误:sinkhole_ip.dat / Input :: READER_ASCII:未在输入数据文件sinkhole_ip.dat中找到请求的字段ip。 1481713377.164791错误:sinkhole_ip.dat / Input :: READER_ASCII:Init:无法打开sinkhole_ip.dat;标题不正确
答案 0 :(得分:0)
我可以在这里回答我自己的问题,它是使用BRO默认使用的制表符分隔文件。每个字段都必须有标签。
然后你可以输出表内容作为测试......输入:: end_of_data event(),一旦收到这个事件,表格中就会提供输入文件中的所有数据。