在Zeek(bro) NSM中运行自定义脚本并在日志文件中生成通知的步骤？

Question

我是Zeek的初学者。我已经编写了一个脚本来生成简单的notice logs。我不知道该把这个脚本放在哪里，或者应该遵循哪些步骤来生成notice logs或custom logs

我已经阅读了Zeek的文档并确定了这些基本步骤。

1. 用脚本名在/nsm/bro/share/bro/site/中创建一个文件夹.

1. 将您的脚本放在此文件夹中.

1. 制作了一个新的脚本main.bro，并在其中编写了@load <mycustomScript>.bro。

在loaded_scripts.bro.中写入文件夹名(在其中放置脚本)

1. ，而不是运行以下命令.

一. broctl stop

二、broctl check

三、broctl deploy

四.broctl start

您将在同一个文件夹中找到日志(我们将脚本放在其中)。但是，在完成所有这些步骤之后，该文件夹中仍然没有日志。

.生成通知日志的基本脚本：.

@load base/frameworks/notice
 
export {
   redef enum Notice::Type += {
    Test_Notice,
 };

 event bro_init()
 {
   NOTICE([$note=Test_Notice, $msg=fmt("Testing the Notice Framework")]);
 } 

请告诉我这是运行自定义脚本的命令的写入序列吗？还是出了什么问题？或者有一些额外的任务需要运行脚本并生成通知日志

Answer 1

我发现这些步骤是正确的。/opt/bro/share/bro/site/local.bro

可以在/opt/bro/share/bro/policy/中添加自定义脚本，然后在/opt/bro/share/bro/site/local.bro中引用这些脚本。下面是一个如何做到这一点的例子：

在/opt/bro/share/bro/policy/下创建一个新目录。sudo mkdir /opt/bro/share/bro/policy/custom-scripts

将您的自定义脚本和__load__.bro添加到此目录。

修改__load__.bro以引用__load__.bro目录中的脚本：

@load ./script1.bro @load ./script2.bro

编辑/opt/bro/share/bro/site/local.bro，以便在/opt/bro/share/bro/policy/custom-scripts中加载新脚本，方法是在文件底部添加@load custom-scripts并保存文件。

重新开始兄弟。sudo so-bro-restart

检查/nsm/bro/logs/current/loaded_scripts.log以查看您的自定义脚本是否已经/已经加载。

如果您的自定义脚本正在/没有按需要工作，请检查/nsm/bro/logs/current/reporter.log以获得线索。

若要检查并查看兄弟脚本是否已发出通知，请转到Kibana并检查“兄弟通知”仪表板。或者，您可以在/nsm/bro/logs/current/notice.log中检查条目。