我正在使用Bro来处理大量pcap文件,因此我想并行运行一堆实例,但是我担心它们会互相访问persistent state file({ {1}})。有没有办法告诉Bro,不管脚本可能想要什么,它都不应该读取或写入任何持久状态?我在手册中找不到任何相关内容。将.state/state.bst设置为无法访问的目录具有预期的效果,除了(足够合理)Bro发出关于无法进入该目录的警告,我希望避免这种情况(我必须将其过滤掉)更高的级别。)
答案 0 :(得分:0)
据我所知,您目前无法停止使用此目录,但是可以重新定义state_dir变量以将其放置在其他位置。您可以在命令行上方便地重新定义变量,因此可以通过以下方式调用Bro:
bro -r some.pcap state_dir=$(mktemp -d -p . bro.XXXX)
这将使每次运行都在当前目录中使用新的状态目录。
可能有一个问题-DNS管理器似乎具有硬编码的.state目录,因此,如果您的配置使用此功能(即,由Bro本身进行的DNS查找),则上述操作可能无效。