roshy的专栏

安装依赖$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel下载安装包开始下载的最新版本发现没有对应的最新规则，4.0有下...

服务器端环境搭建比较简单：如果是windows下安装只要先安装otp.exe和rabbitmqServer.exe然后配置环境变量就可以了。可以很容易的搜索到教程。特别要注意的是两者的版本要匹配，官网上有对应的版本对照说明。否则会出现各种莫名其妙的问题。作为应用业务客户端开发rabbitmq支持多种语言接口，c++版本的client应用起来比较复杂。github上有一个基于c版本开发的Si...

一、功能概述BRO 是一个开源功能强大的流量分析工具，主要用于协议解析、异常检测，行为分析等，bro还为用户提供了事件驱动的bro脚本语言。协议解析站点部署BRO所能获得的最直接好处就是获得日志文件的扩展集，这些文件在高层次记录网络的行为。这些日志文件不仅全方位记录了所有线路上可见的每个连接，还记录了应用层传输，例如HTTP会话以及请求的URL、关键头、MIME类型、服务器反馈，DNS请...

1、配置数据源和输出config目录下vi hlchttp.conf input { file { path => "/data/logs/logstash/logstash-tutorial-dataset.log" start_position => beginning ignore_older => 0...

今天安装了kafka，记录一下过程，以供参考下载安装包、解压wget http://mirror.bit.edu.cn/apache/kafka/2.2.0/kafka_2.12-2.2.0.tgz tar zxvf kafka_2.12-2.2.0.tgz -C /home/kafka修改配置文件vim config/server.properties修改其中broke...

Bro log日志处理网络协议分析的日志通常是这样开始的：时间戳、唯一连接标识符（uid）和连接4元组（发起方主机/端口和响应方主机/端口）。uid可用于标识与给定连接4元组在其生存期内关联的所有记录的活动（可能跨多个日志文件）。然后，协议特定日志的其余列将详细说明正在发生的与协议相关的活动。例如，http.log接下来的几列（简写）显示了对bro网站根目录的请求：# method ...

转载，可参照文中叙述方法对日志字段扩展添加自己想要的内容，比如本采集器IP等添加自定字段，如human_readable time字段：FILE $bro/share/bro/base/protocols/http/human_time_http.bro@load base/protocols/httpmodule HTTP;export {redef record I...

场景 前两者的缺点就是它的优点 缺点：学习有一定的门槛。 支持Snort/ suricata的设备不能与网络上其他支持Snort的设备通信，也不能集中管理它们。 对于小型企业来说，它们可能工作得很好，但对于中型或大型网络，它们可以带来更多的工作，而带来更少的价值。 规则分析 Bro提供了...