2016-04-26 10 views
2

Neue Frage hier: Ich installierte Bro auf einem frischen Ubuntu. Ich betreibe bro und erstelle HTTP-Anfragen von diesem Ubuntu. Bro protokolliert die Antworten, die ich bekomme, aber ich sehe keine Protokolle der OUTGOING-Anfragen. Wenn ich HTTP-Anfragen an den Apache-Server, der auf diesem Ubunu installiert ist, sende, sehe ich die Logs der eingehenden Anfragen. Ich überwache die korrekte NIC. Wireshark sieht den ausgehenden Verkehr. Was muss ich tun, tun Protokolle zu bekommen fürBro protokolliert keine ausgehenden HTTP-Anfragen

Bro 2.4.1 (heruntergeladen tar.gz von bro.org) Ubuntu 14.04 einen Proxy verwenden.

Dank

Antwort

1

Es ist wahrscheinlich, dass Ihre Netzwerkkarte Prüfsummenverschiebung verursacht Bro unterstützt Pakete zu sehen, bevor eine gültige Prüfsumme auf dem Weg aus der Netzwerkkarte zur Verfügung gestellt wird. Wenn Bro eine ungültige Prüfsumme sieht, ignoriert es das Paket. Die richtige Prüfsumme wird erzeugt und zu einem Zeitpunkt in den Rahmen eingefügt, nachdem Bro sie gesehen hat, was für Ihre Zwecke zu spät ist.

Es gibt mindestens drei Möglichkeiten für Bro die Pakete nicht zu ignorieren:

  1. die -C Flagge Hinzufügen bro Prüfsummenvalidierung
  2. Einstellung redef ignore_checksums = T; in $PREFIX/share/bro/site/local.bro auch Prüfsummenvalidierung zu ignorieren zu ignorieren. Ersetzen $PREFIX mit dem Installationsverzeichnis, oft /usr/local/bro.
  3. Deaktivieren Sie die Prüfsummenverschiebung auf der NIC mit ethtool --offload <int> rx off tx off, damit die richtigen Prüfsummen erzeugt werden. Ersetzen Sie <int> durch den Namen Ihrer Schnittstelle.

Weitere Informationen unter https://www.bro.org/documentation/faq.html#why-isn-t-bro-producing-the-logs-i-expect-a-note-about-checksums

+0

Dank, das war sehr hilfreich! Beide Methoden funktionierten –

+0

@oogachaka, wenn diese Antwort hilfreich war, dann bitte als die richtige Antwort markieren - danke – jonschipp