Братан: Журнал только один поток

Question

Братан: Журнал только один поток

Моя цель - запустить команду вроде bro --iface <interface> и получить только conn.log, но я не могу сказать из документации Bro или man-страниц, как это сделать.

Благодарю.

3

security logging pcap bro

Источник

user5831363 25 апр '16 в 23:53

1 ответ

Решение

Другие вопросы по тегам security logging pcap bro

user1170277 26 апр '16 в 02:11 2016-04-26 02:11 · Accepted Answer · 2016-04-26 02:11

Это поможет вам

bro -i <interface> -b base/protocols/conn

С -b вы запускаете Bro в "голом режиме", то есть он не загружает набор стандартных скриптов. Можно использовать этот режим, чтобы отключить все по умолчанию и только выборочно включить определенный анализ. В общем, вы можете предоставить произвольный список сценариев, поставляемых с дистрибутивом Bro, в командной строке. В этом случае я показываю, что он работает со скриптом, который генерирует conn.log,