更改bro测井缺省值

Question

我想使用Bro实现MAC地址和主机名的日志记录。我使用Bro已经有一段时间了，但是我对它还有点陌生。

版本：Bro 2.5.1

通过对这一点的研究，我发现我可以通过启用policy/protocols/dhcp/known-devices-and-hostnames.bro来记录这一点，但为此，我还需要启用policy/misc/known-devices.log。

然后，这将登录到一个devices.log。

现在我遇到的问题是，从这些文件中，每天只记录一次(默认情况下)。

我需要更频繁地记录(一旦有特定的连接，我希望连接mac地址和主机名被记录。这个是可能的吗？如果可能的话，我是否需要更改默认值以及在哪里？还是我错过了什么？

Answer 1

尝试使用redef of Log::default_rotation_interval (医生来了)来满足您的需要。如果您正在运行一个集群，请考虑BroControl中的BroControl。