bro zeek的安裝與使用過程

2021-10-10 18:01:04 字數 3205 閱讀 1175

該部落格主要的目的是將自己最近安裝的bro/zeek進行整理,如有不對的地方希望大佬指正。其整理如下:

首先,我的安裝環境是虛擬機器ubuntu16.4。

bro/zeek的安裝方式有兩種,一種是利用容器docker進行安裝,一種是單獨的安裝方式。我將首先講述第一種安裝方式。

1.安裝docker,按照**上的方式進行安裝即可。

2.獲取開源**

cd zeek-docker
4.生成docker映象

make build-stamp_3.


0.0
5.使用zeek進行解析

5.1 建立目錄,便於儲存後面需要解析的pcap檔案,

mkdir /home/pcap
5.2 啟動docker並且對於宿主機上的目錄建立docker容器

sudo docker run -itd --rm --name lord_elmelloi -v /home/sj/pcap:


/pcap broplatform/bro:


3.0.0


/bin/bash
我已經完成了操作,因此會有這樣資訊顯示。

-i 表示以互動式執行容器,

-t 表示容器啟動後會進入其命令列。加入這兩個引數後,容器建立就能等進去,即分配乙個偽終端

– name 為建立容器命名

-v 表示目錄對映關係(前者是宿主機目錄,後者是對映到宿主機上的目錄,即宿主機目錄:容器中目錄),可以使用多個-v做多個目錄或檔案對映。注意:最好做目錄對映,在宿主機中做修改,然後共享到容器上

-d 在run後面加上-d引數,則會建立乙個守護式容器在後台執行(這樣建立容器後不會自動登入容器,如果只加-i -t兩個引數,建立後就會自動進入容器)

-p 表示埠對映,前者是宿主機埠,後者是容器內的對映埠。可以使用多個-p做多個埠對映

-e 為容器設定環境變數

– network=host表示將主機的網路環境對映到容器中,容器的網路與主機相同

5.3進入docker並使用zeek解析pcap檔案

sudo docker exec -it lord_elmelloi /bin/bash -c 'cd /pcap && zeek -r 2018-08-02-hancitor-malspam-infection-traffic.pcap'
5.4解析成功,可以進入/home/sj/pcap進行檢視

接卸的結果如圖所示。

1.安裝依賴包

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

./configure


make


sudo make install
在安裝的過程中可能遇到依賴不匹配,因此要使用各種辦法解決依賴問題,命令視窗中都有顯示,針對具體問題進行具體解決。

4.使用zeekctl命令

(zeekctl命令主要時用來管理,但具體運用到什麼地方暫時還不清楚,本文主要是使用zeek命令來離線分析pcap資料,這裡只是在使用zeek的過程中使用到所以進行說明)

4.1進入/usr/local/zeek/bin使用

sudo python zeekctl
(使用./zeekctl會有相關的許可權問題,進入zeekctl中也可以發現zeekctl是用python寫的)

4.2初次需要使用install,然後使用start執行,zeek會生成相關的日誌檔案(目錄在/usr/local/zeek/logs),用stop進行停止。

4.2.1其中可能遇到郵件無法傳送的錯誤,需要將(/usr/local/zeek/etc/node.cfg)網路介面修改為自己電腦上的介面。

4.2.2出現錯誤時使用diag命令可以檢視到更為準確的資訊。

5.使用zeek命令

同樣是進入到/usr/local/zeek/bin/,使用

sudo ./zeek local -r your.pcap或者sudo ./zeek local -r your.pcap logascii:


:use_json=t(生成json格式)
解析您的pcap資料,最後輸出的檔案在usr/local/zeek/bin/目錄(自己檢視了zeek命令所選項發現並沒有相應的選項,所以並沒有深究)。

6.注意事項

6.1進入usr/local/zeek/bin/並不能使用sudo python zeek執行zeek,使用zeek也一樣,必須使用./zeek並加入所選項執行。為了避免許可權的問題,我加入了sudo命令。

6.2zeek的配置檔案在/usr/local/zeek/share/zeek/site/local.zeek中,可以根據自己的需要使用@load進行載入。

6.3載入的配置檔案需要放入/usr/local/zeek/share/zeek/policy中才能起作用,否則執行zeekctl時會出現找不到相應的檔案。

CocoaPods 安裝 使用 過程總結

一 概要 ios開發時,專案中會引用許多第三方庫,cocoapods 可以用來方便的統一管理這些第三方庫。cocoapods是ios專案的依賴管理工具,該專案原始碼在github上管理。開發ios專案不可避免地要使用第三方開源庫,cocoapods的出現使得我們可以節省設定和第三方開源庫的時間。在使...

Clouda安裝和使用過程詳解

ad 安裝clouda 使用下面命令安裝clouda npm install g sumeru sumeru init myproject 在執行clouda前需要啟動mongodb,如何啟動mongodb請參考本文件環境搭建部分。cd myproject sumeru start 在clouda框...

tiles的使用過程

本文以最簡單而有效的形式記錄tiles的使用過程,以備以後使用時快速參考。1.先建乙個layout.jsp布局頁面 2 新建乙個tiles defs.xml檔案,並在其中做相應的配置。這樣就相當於通過xml檔案定義了乙個member.jsp.3.在web.xml和struts config.xml和...