我想使用Bro启用MAC地址和主机名的记录。我一直在使用Bro
,但我还是有点新鲜。
版本:Bro 2.5.1
通过研究这一点,我发现我可以通过启用policy/protocols/dhcp/known-devices-and-hostnames.bro
来记录这一点,但为此,我还需要启用policy/misc/known-devices.log
。
然后会记录到devices.log
。
现在我遇到的问题是,从这些文件来看,每天只会记录一次(默认情况下)。
我需要更频繁地记录(一旦有特定连接,我希望记录连接mac地址和主机名。这可能吗? 如果可能,我是否需要更改默认值以及在哪里? 或者我可能错过了什么?
答案 0 :(得分:0)
尝试使用redef
(docs here)中的Log::default_rotation_interval
来满足您的需求。如果您正在运行群集,请考虑BroControl中的LogRotationInterval
。