我试图从我拥有的PCAP文件生成software.log文件,默认的bro -r my.pcap似乎生成了一些日志文件,但不是这个。在谷歌关于添加local结束后应该修复它,但它没有。
默认情况下,软件日志将只跟踪"本地"主机的软件。Bro之所以这样做是因为它将已知的软件存储在内存中,如果它在默认情况下跟踪所有发现的软件,它将很快消耗所有可用的内存。
你有两个选择,你可以告诉兄弟你的本地地址空间,或者你可以告诉兄弟跟踪所有的软件。您还需要加载将软件信息提供给软件框架的脚本,我们将在这里加载local.bro,其中包括加载所有这些脚本的行。
通知兄弟本地地址空间:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
或
让软件框架通过加载一个调优脚本来跟踪所有的软件,这个脚本可以为所有的主机启用所有内建的资产跟踪:
bro -r my.pcap tuning/track-all-assets.bro local.bro
或
要得到更深入的答案,您还可以直接调整软件框架中的选项,使其跟踪所有软件:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro