Что нужно сделать для запуска пользовательского сценария в Zeek(братан) NSM и создания уведомления в файлах журнала?

Я новичок в Zeek NSM. Я написал сценарий, который просто генерируетnotice logs. Я не знаю, где мне разместить этот сценарий или какие шаги нужно выполнить, чтобы сгенерироватьnotice logs или мой custom logs

Я уже просмотрел документацию Zeek и выясните эти основные шаги.

  1. сделать папку в /nsm/bro/share/bro/site/ с именем вашего скрипта.

  2. поместите свой скрипт в эту папку.

  3. сделать новый сценарий main.bro и писать @load <mycustomScript>.bro в этом.

  4. Затем напишите имя вашей папки (в которую вы помещаете свой скрипт) в loaded_scripts.bro.

  5. Затем выполните следующие команды...

    я. broctl stop

    II. broctl check

    iii. broctl deploy

    iv. broctl start

Вы найдете логи в той же папке (в которую мы помещаем наш скрипт). но после выполнения всех этих действий в этой папке по-прежнему нет журналов.

....................................... базовый скрипт для создания журналов уведомлений:.......................................

@load base/frameworks/notice

export {
   redef enum Notice::Type += {
    Test_Notice,
 };

 event bro_init()
 {
   NOTICE([$note=Test_Notice, $msg=fmt("Testing the Notice Framework")]);
 }

Пожалуйста, скажите мне, это последовательность команд записи для запуска пользовательского скрипта? или тут что-то не так? или для запуска сценария и создания журналов уведомлений требуется дополнительная задача?

Я нашел эти шаги правильными./opt/bro/share/bro/site/local.bro

Вы можете добавлять собственные скрипты в /opt/bro/share/bro/policy/ а затем ссылайтесь на скрипты в /opt/bro/share/bro/site/local.bro. Ниже приведен пример того, как это сделать:

  • Создайте новый каталог в /opt/bro/share/bro/policy/. sudo mkdir /opt/bro/share/bro/policy/custom-scripts

  • Добавьте свой собственный сценарий (ы) и __load__.bro в этот каталог.

  • Изменить __load__.bro для ссылки на скрипты в каталоге custom-scripts:

  • @load ./script1.bro@load ./script2.bro

  • редактировать /opt/bro/share/bro/site/local.bro так что он загрузит новые скрипты в /opt/bro/share/bro/policy/custom-scripts, добавляя @load custom-scripts внизу файла и сохраните файл.

  • Перезагрузите Bro. sudo so-bro-restart

  • Проверьте /nsm/bro/logs/current/loaded_scripts.log чтобы увидеть, были ли загружены / загружены ваши пользовательские скрипты.

  • Проверьте /nsm/bro/logs/current/reporter.log для подсказок, если ваш пользовательский сценарий (-ы) работает / не работает должным образом.

  • Чтобы проверить, запустил ли скрипт Bro уведомление, перейдите в Kibana и проверьте нашу панель инструментов Bro Notices. Кроме того, вы можете проверить наличие записей в/nsm/bro/logs/current/notice.log.

Источник

1 ответ

Я нашел эти шаги правильными.

Вы можете добавить собственные сценарии, а затем ссылаться на них в. Ниже приведен пример того, как это сделать:

Создайте новый каталог в /opt/bro/share/bro/policy/. sudo mkdir

Добавьте свои собственные скрипты и в этот каталог.

Изменить __load__.broдля ссылки на скрипты в каталоге custom-scripts :

      @load ./script1.bro @load ./script2.bro

Редактировать /opt/bro/share/bro/site/local.bro так что он загрузит новые скрипты в /opt/bro/share/bro/policy/custom-scripts, добавлением @load custom-scripts в нижней части файла и сохраните файл.

Перезагрузите Bro. sudo so-bro-restart

Проверять /nsm/bro/logs/current/loaded_scripts.log чтобы узнать, загружены ли / загружены ли ваши пользовательские скрипты.

Проверять /nsm/bro/logs/current/reporter.log для подсказок, если ваш пользовательский сценарий (-ы) работает / не работает должным образом.

Чтобы проверить, запустил ли скрипт Bro уведомление, перейдите в Kibana и проверьте панель инструментов Bro Notices. Кроме того, вы можете проверить записи в /nsm/bro/logs/current/notice.log.

Источник
Другие вопросы по тегам