在群集模式下安装Bro后,peerstatus挂起,并且仅生成基本日志,而没有流量日志。没有Conn日志或其他任何日志。
下面的日志输出中,我注意到在记录器以及工作程序中均未找到核心文件,但是由于我是从源代码安装的,因此不确定该文件。我的node.cfg是默认的群集设置。
我将以超级用户身份登录到工作节点
我关闭了群集模式,并转到了单节点,并且工作正常。
[root@localhost 2019-06-03]# sudo broctl status
Name Type Host Status Pid Started
logger logger xxx.xxx.x.xxx running 24853 04 Jun 16:50:39
manager manager xxx.xxx.x.xxx running 24899 04 Jun 16:50:40
proxy-1 proxy xxx.xxx.x.xxx running 24944 04 Jun 16:50:42
worker-1 worker xxx.xxx.x.xyy running 16406 04 Jun 16:50:43
[root@localhost 2019-06-03]# sudo broctl top
Name Type Host Pid VSize Rss Cpu Cmd
logger logger xxx.xxx.x.xxx 24853 264M 111M 0% bro
manager manager xxx.xxx.x.xxx 24899 229M 99M 6% bro
proxy-1 proxy xxx.xxx.x.xxx 24944 228M 100M 0% bro
worker-1 worker xxx.xxx.x.xyy 16406 803M 676M 6% bro
[root@localhost 2019-06-03]# sudo broctl check
logger scripts are ok.
manager scripts are ok.
proxy-1 scripts are ok.
worker-1 scripts are ok.
[root@localhost 2019-06-03]# sudo broctl diag
[logger]
No core file found.
Bro 2.6.1
Linux 3.10.0-957.12.2.el7.x86_64
Bro plugins: (none found)
==== No reporter.log
==== stderr.log
...
[logger]
type=logger
host=xxx.xxx.x.xxx
[manager]
type=manager
host=xxx.xxx.x.xxx
[proxy-1]
type=proxy
host=xxx.xxx.x.xxx
[worker-1]
type=worker
host=xxx.xxx.x.xyy
interface=ens192
答案 0 :(得分:1)
通过打开防火墙中的端口47760-47770解决了该问题。现在一切正常。 我不知何故错过了文档中的以下内容:
对于集群设置,记录器侦听TCP端口47761,而管理器侦听TCP端口47762(如果未定义记录器,则侦听47761)。每个代理都分配有自己的端口号,该端口号比管理器的端口大一个。同样,为每个工作人员分配了自己的端口,该端口的起始编号比分配给代理的最高端口编号大一个。 https://github.com/zeek/zeekctl