Bro / Zeek broctl找不到同伴

Question

在集群模式下安装Bro之后，对等状态挂起，并且只生成基本日志，没有流量日志。没有控制日志或任何其他。

在下面的日志输出中，我注意到在记录器和工作人员中没有找到核心文件，但是当我从源代码安装时，不确定这个文件。我的node.cfg是默认集群设置。

我是工作节点的根节点

我关闭了集群模式，转到了单个节点，运行良好。

[root@localhost 2019-06-03]# sudo broctl status
Name         Type    Host             Status    Pid    Started
logger       logger  xxx.xxx.x.xxx    running   24853  04 Jun 16:50:39
manager      manager xxx.xxx.x.xxx    running   24899  04 Jun 16:50:40
proxy-1      proxy   xxx.xxx.x.xxx    running   24944  04 Jun 16:50:42
worker-1     worker  xxx.xxx.x.xyy    running   16406  04 Jun 16:50:43

[root@localhost 2019-06-03]# sudo broctl top
Name         Type    Host             Pid     VSize  Rss  Cpu   Cmd
logger       logger  xxx.xxx.x.xxx    24853   264M   111M   0%  bro
manager      manager xxx.xxx.x.xxx    24899   229M    99M   6%  bro
proxy-1      proxy   xxx.xxx.x.xxx    24944   228M   100M   0%  bro
worker-1     worker  xxx.xxx.x.xyy    16406   803M   676M   6%  bro

[root@localhost 2019-06-03]# sudo broctl check
logger scripts are ok.
manager scripts are ok.
proxy-1 scripts are ok.
worker-1 scripts are ok.

[root@localhost 2019-06-03]# sudo broctl diag
[logger]

No core file found.

Bro 2.6.1
Linux 3.10.0-957.12.2.el7.x86_64

Bro plugins: (none found)

==== No reporter.log

==== stderr.log
...

[logger]
type=logger
host=xxx.xxx.x.xxx

[manager]
type=manager
host=xxx.xxx.x.xxx

[proxy-1]
type=proxy
host=xxx.xxx.x.xxx

[worker-1]
type=worker
host=xxx.xxx.x.xyy
interface=ens192

Answer 1

通过在防火墙中打开端口47760-47770解决了这个问题.现在一切都正常了。不知何故，我在文档中漏掉了以下几点：

对于群集设置，记录器侦听TCP端口47761，管理器侦听TCP端口47762 (如果没有定义记录器，则侦听47761 )。每个代理都分配了自己的端口号，从大于管理器端口的一个数字开始。同样，每个工作人员都被分配了自己的端口，开始比分配给代理的最高端口号大一个。https://github.com/zeek/zeekctl