Как решить двойную ошибку, определенную правилом в подписи Zeek?

Question

Как решить двойную ошибку, определенную правилом в подписи Zeek?

Я пытаюсь выучить подпись зика

Имя файла подписи: dns.sig

          signature dns-intel{
ip-proto == udp
dst-port == 53
payload /.*life|.*bar/
event "[Suspicious DNS Query]" }

Имя файла Zeek: myfirst.zeek

      event signature_match (state: signature_state, msg: string, data: string) {
    if (state$sig_id == "dns-intel") {
        print fmt ("[Suspicious DNS query] %s", state$conn$dns$query)
    }

В строке 5 появляется ошибка: правило определено дважды. в чем тут проблема ??

0

signature rules zeek

Источник

12 июн '21 в 04:17

1 ответ

Другие вопросы по тегам signature rules zeek

user16159414 21 июн '21 в 12:38 2021-06-21 12:38 · Answer 1 · 2021-06-21 12:38

Идентификатор подписи должен быть уникальным в зависимости от вашего кода ошибки:

ошибка в строке 5: правило определено дважды. в чем тут проблема ??

Возможно, у вас есть несколько подписей, определенных с одним и тем же идентификатором: dns-intel в вашем файле dns.sig.

Измените файл dns.sig и убедитесь, что каждая подпись имеет уникальный идентификатор, чтобы исправить ошибку.

Я проверил вашу подпись и скрипт на своем локальном компьютере и могу работать без проблем.