Ich versuche, die Datei software.log aus einer PCAP-Datei, die ich habe, zu generieren, scheint der Standard bro -r my.pcap einige der Protokolldateien zu generieren, aber nicht diese. Nach googeln über das Hinzufügen von local am Ende soll es beheben, aber es tut es nicht.Wie man die Software.log von einer pcap Datei mit bro erzeugt?
Standardmäßig verfolgt das Software-Protokoll nur Software für "lokale" Hosts. Bro verhält sich so, weil es bekannte Software im Speicher speichert und wenn es alle entdeckte Software standardmäßig nachverfolgt, würde es den gesamten verfügbaren Speicher sehr schnell verbrauchen.
Sie haben zwei Möglichkeiten, entweder Sie können Bro über Ihren lokalen Adressraum informieren oder Sie können Bro sagen, dass er die gesamte Software verfolgen soll. Sie müssen auch die Skripte laden, die Softwareinformationsinformationen in das Software-Framework einspeisen, das wir hier laden werden, indem wir local.bro laden, das die Zeilen enthält, um alle diese Skripte zu laden.
Informieren Bro der lokalen Adressraum:
bro -r my.pcap "Site::local_nets+={192.168.0.0/16,10.0.0.0/8}" local.bro
ODER
das Software-Framework Machen Sie alle Software verfolgen, indem ein Tuning-Skript geladen, die für alle alle der integrierten Asset-Tracking ermöglicht Gastgeber:
bro -r my.pcap tuning/track-all-assets.bro local.bro
OR
Für eine tiefere Antwort, können Sie auch die gesamte Software, um es direkt in der Software-Framework, das bewirkt, dass die Option Melodie verfolgen:
bro -r my.pcap Software::asset_tracking=ALL_HOSTS local.bro
Dank! beste Antwort, die ich je auf Stapel hatte: P – Crizly