回答情况:
提问时间:
问题标签:
我在学zeek签名 signature dns-intel{dst-port == 53event "[Suspicious DNS Query]" }event signature_match (state: signature_state
浏览 4提问于2021-06-12得票数 0
我使用命令行参数-r inputfile.pcap在单个pcap文件上运行zeek/bro。如何在bro脚本中访问此输入文件的文件名?
浏览 2提问于2019-11-27得票数 0
尝试将这样的数据(zeek连接数据)加载到pyflink。我的问题是id字段的名称带有点,因为它们最初是zeek中的元组。
浏览 8修改于2021-08-22得票数 0
我正在尝试编写一个Zeek脚本来将dns流量分成两个日志文件(查询和回复),错误是dns_query_reply事件中代码$TTL=c$dns$TTLs的“字段缺失值”。string &log &optional; };
event zeek_init
浏览 50修改于2020-04-01得票数 0
回答已采纳
我已经从'https://github.com/zeek/zeek-aux‘下载了zeek-aux的源代码。在编译时,我得到了以下错误。
浏览 41提问于2020-04-09得票数 2
Zeek允许检查RTP报头吗?
据我所知,还没有添加RTP解析器。关于这个话题,我还有一个问题。有没有任何现有的指南或教程来解释我如何自己为协议开发一个分析器,或者我应该只是基于已经存在的代码?
浏览 28提问于2020-04-09得票数 1
我正在测试Zeek/Bro在检测不同类型的隐写术方面的能力。在使用了ICMP协议之后,现在我正在尝试检查TCP协议。我想检测TCP中的保留位是否在TCP事件的帮助下被更改。不幸的是没有成功。是否可以使用Zeek检查TCP保留位?
浏览 4修改于2020-04-08得票数 1
回答已采纳
我试图配置Zeek,以便将文件(每个文件)存储在磁盘上,但没有成功。我正在使用的操作系统: Debian 10。我是Zeek的初学者,我想学习如何使zeek能够保存文件(即遍历网络)并存储在磁盘上。正在存储的唯一类型的文件: HTTP和SSL。我正在使用的Zeek版本: zeek版本4.1.0dev.545。
我在处理交通问题。我还没有尝试过任何关于pcap的方法,但是我会尝试一下您对"zeek -r the.pcap the
浏览 19修改于2021-05-12得票数 0
回答已采纳
在集群模式下安装Bro之后,对等状态挂起,并且只生成基本日志,没有流量日志。没有控制日志或任何其他。我是工作节点的根节点[root@localhost 2019-06-03]# sudo broctl statuslogger logger xxx.xxx.x.x
浏览 1提问于2019-06-04得票数 1
回答已采纳
我试图在3 Ubuntu18.04 LTS主机上设置Zeek集群(v.3.2.0-dev.271),但没有效果--运行zeek deploy命令失败,输出如下:我遵循了 (充其量是相当通用的),并在zeek我还先发制人地在所有主机上创建了/usr/local/zeek路径,并授予ze
浏览 5提问于2020-04-03得票数 0
回答已采纳
我正在尝试用Zeek编写我的第一个脚本,它将允许对本地网络中客户端发送和接收的TLS数据包段进行统计(具有相同大小的数据包的数量,按发送的数据包列出的目标ip )。
浏览 32提问于2020-05-22得票数 0
我是Zeek的初学者。我已经编写了一个脚本来生成简单的notice logs。我不知道该把这个脚本放在哪里,或者应该遵循哪些步骤来生成notice logs或custom logs
我已经阅读了Zeek的文档并确定了这些基本步骤。
浏览 5修改于2021-04-13得票数 1
情景:我已经设置了一个Zeek/Bro IDS,并让它在一个接口上侦听(使用iptables转发流量。client1 === iptables === client2 zeek_ids
问题: Zeek被127.0.0.1/8流量触发,我找不到任何材料来帮助我忽略问:为了不局限于127.0.0.0/8流量,我如何配置Zeek,使其能够忽略来自某些子网的流量?附加信息1:我尝试将子网(127.0.0.0/8)添加到$Z
浏览 16修改于2020-04-01得票数 0
我们有制片人将以下内容发送给卡夫卡:
topic=syslog,~25,000次/ daytopic=zeek.xxx.log,~5,000次/天~10,000次事件(总计)。在最后一个例子中,有20个不同的zeek主题,例如zeek.conn.log和zeek.http.log。,zeek.capture_loss.log,zeek.conn.log,zeek.dhcp.log,zeek.dns.log,zeek
浏览 0提问于2021-11-08得票数 0
回答已采纳
早上好,ruleset(name="send_zeek_logs") { set $!" Facility="local7" RuleSet="sen
浏览 0提问于2022-11-22得票数 1
回答已采纳
1回答
我的难题是,我使用我希望能够正确看到整个流的工具(Zeek,Suricata),然而,如果单个连接超过“工作线程”的最大处理速率,这两个实用程序都无法处理更大的通信量。由于单个连接能够生成这种流量,我不知道负载平衡方法和相应的软件会从Zeek &Suricata产生类似的结果信息(可以理解,Zeek与Suricata的关系要小得多,因为看到整个连接并不是绝对必要的,但是让一个巨大的连接填充对于引用,我目前正在使用AF_Packet家族套接字,用于Zeek中的两个Suricata,它们都处于各自的扇出状态。
浏览 0提问于2021-02-03得票数 2
但是,当我使用“公开”URL(java-zeek.a3c1.starter-us-west-1.openshiftapps.com).时我得到一个404错误。以下是我的完整配置:bc/java Source Gitago 55s
is/java 172.30.1
浏览 4提问于2017-08-25得票数 1
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号