Bro不记录传出HTTP请求

Question

这里的新手问题:我在一个新的Ubuntu上安装了Bro。我运行bro并创建来自Ubuntu的http请求。bro记录我收到的回复，但我没有看到任何发出请求的日志。当我向安装在该Ubunu上的apache服务器发送http请求时，我确实看到了到达日志的请求。我在监视正确的NIC。Wireshark确实看到了传出的流量。我需要做些什么才能得到日志

BrO2.4.1(从tar.gz下载自bro.org) Ubuntu14.04使用代理。

谢谢

Answer 1

很可能您的网卡支持校验和卸载，导致Bro在网卡在out路径上可用有效校验和之前看到数据包。如果Bro看到一个无效的校验和，它将忽略该数据包。正确的校验和将生成，并插入到帧点后，Bro看到它，这已经太晚了，您的目的。

对于Bro来说，至少有三种不忽略数据包的方法：

1. 将-C标志添加到bro以忽略校验和验证
2. 将redef ignore_checksums = T;在$PREFIX/share/bro/site/local.bro中设置为也忽略校验和验证。用$PREFIX安装目录(通常是/usr/local/bro )替换/usr/local/bro。
3. 使用ethtool --offload <int> rx off tx off在网卡上禁用校验和卸载，以便开始生成正确的校验和。用接口的名称替换<int>。

关于https://www.bro.org/documentation/faq.html#why-isn-t-bro-producing-the-logs-i-expect-a-note-about-checksums的更多信息