Zeek (Bro)根据输入文件重命名日志

Question

我使用命令行参数-r inputfile.pcap在单个pcap文件上运行zeek/bro。如何在bro脚本中访问此输入文件的文件名？我想将conn.log重命名为inputfile_conn.log。

Answer 1

据我所知，这是不可能的。首先，您似乎可以在命令行上向zeek提供多个pcap文件，并且它们都是并行打开的。在这种情况下，没有正确的答案“正在处理什么pcap？”在任何情况下，我都找不到任何暴露于脚本的方法。

我建议您通过使用脚本包装zeek来解决这个问题，该脚本将文件的名称放入环境变量中。然后，在脚本中，您可以使用getenv来获取存储在环境变量中的值。