The Bro Network Security Monitor
https://www.bro.org/
使用OS的版本:Ubuntu 12.04 LTS 64bit
基本上安裝是用官方的安裝文件去將Bro裝起來的~
參考:https://www.bro.org/sphinx/install/install.html#id1
基本套件安裝
Note:一定要確定每個套件都裝成功,只要某一個失敗,那套件之後都會沒有安裝
最笨的安裝方法:(一個一個裝)
$sudo apt-get install 套件名稱
從網路上取得Bro套件
如果發現沒有git指令,請用下列指令安裝:
$sudo apt-get install git
之後我們用cd這指令轉到bro目錄下,並開始安裝
繼續...make(要很久的~~~)
再來...(官方文件中沒有加sudo,只是後來發現要加sudo才能用)
設定環境變數
通常我們要分析一個pcap檔、dump檔、trace檔之類的,會需要先用Bro去解析出log檔
所以解開吧(這邊是將dump檔放在/home/test1026/的資料夾下)
(分析過程中,會感覺沒動作,但等等吧!!)
等好了之後,在bro的目錄中,可以看到多了一些log檔(不是一些......是很多)
相關log說明,請見官網說明(link)
後續的分析會使用到awk這個資料處理工具
簡單的二個範例如下
1.從conn.log中讀取,如果NR(現在處理行數)大於第8行,則x++,最後印出x
awk '{if(NR>8) x++} END {print x}' conn.log
2.從http.log中讀取,如果第六個欄位的資料等於80,則印出第五欄
awk '{if($6=="80") print $5}' http.log
P.S.有些人會覺得奇怪,重開機後,Bro怎麼就不能用了,但Bro資料夾卻還在?
把PATH再設一次就可以了~
沒有留言:
張貼留言