Logging 在Zeek(bro)NSM中运行自定义脚本并在日志文件中生成通知的步骤?

Logging 在Zeek(bro)NSM中运行自定义脚本并在日志文件中生成通知的步骤?,logging,network-analysis,bro,zeek,Logging,Network Analysis,Bro,Zeek,我是Zeek NSM的初学者。我编写了一个脚本,它只生成通知日志。我不知道该将此脚本放置在何处,或者应该按照哪些步骤生成通知日志或我的自定义日志 我已经阅读了Zeek的文档,并找出了这些基本步骤 用脚本名在/nsm/bro/share/bro/site/中创建一个文件夹 将脚本放在此文件夹中 制作一个新脚本main.bro并在其中写入@load.bro 然后在loaded\u scripts.bro中写入文件夹名称(您将脚本放在其中) 然后运行以下命令 一,broctl停止 二,bro

我是Zeek NSM的初学者。我编写了一个脚本,它只生成
通知日志
。我不知道该将此脚本放置在何处,或者应该按照哪些步骤生成
通知日志
或我的
自定义日志

我已经阅读了
Zeek
的文档,并找出了这些基本步骤

  • 用脚本名在
    /nsm/bro/share/bro/site/
    中创建一个文件夹

  • 将脚本放在此文件夹中

  • 制作一个新脚本
    main.bro
    并在其中写入
    @load.bro

  • 然后在
    loaded\u scripts.bro
    中写入文件夹名称(您将脚本放在其中)

  • 然后运行以下命令

  • 一,<代码>broctl停止

    二,<代码>broctl检查

    iii.
    broctl部署

    iv.
    broctl启动

    您将在同一文件夹中找到日志(我们将脚本放在其中)。但在完成所有这些步骤后,该文件夹中仍然没有日志

    。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 用于生成通知日志的基本脚本:

    @load base/frameworks/notice
     
    export {
       redef enum Notice::Type += {
        Test_Notice,
     };
    
     event bro_init()
     {
       NOTICE([$note=Test_Notice, $msg=fmt("Testing the Notice Framework")]);
     } 
    

    请告诉我这是运行自定义脚本的命令写入序列吗?还是有什么不对劲?或者需要一些额外的任务来运行脚本并生成通知日志?

    我发现这些步骤是正确的<代码>/opt/bro/share/bro/site/local.bro

    您可以在
    /opt/bro/share/bro/policy/
    中添加自定义脚本,然后在
    /opt/bro/share/bro/site/local.bro
    中引用脚本。下面是一个如何执行此操作的示例:

    /opt/bro/share/bro/policy/
    下创建一个新目录。sudo mkdir
    /opt/bro/share/bro/policy/custom脚本

    将自定义脚本和
    \uuuuuu load\uuuuu.bro
    添加到此目录

    修改
    \uuuu load\uuuu.bro
    以引用自定义脚本目录中的脚本:

    @load ./script1.bro @load ./script2.bro
    
    编辑
    /opt/bro/share/bro/site/local.bro
    ,通过在文件底部添加
    @load custom scripts
    并保存文件,将新脚本加载到
    /opt/bro/share/bro/policy/custom scripts

    重启兄弟<代码>sudo so bro重启

    检查
    /nsm/bro/logs/current/loaded_scripts.log
    以查看您的自定义脚本是否已加载

    检查
    /nsm/bro/logs/current/reporter.log
    以了解自定义脚本是否按预期工作


    要查看Bro脚本是否触发了通知,请转到Kibana并查看Bro通知仪表板。或者,您可以在
    /nsm/bro/logs/current/notice.log
    中检查条目。我发现这些步骤是正确的<代码>/opt/bro/share/bro/site/local.bro

    您可以在
    /opt/bro/share/bro/policy/
    中添加自定义脚本,然后在
    /opt/bro/share/bro/site/local.bro
    中引用脚本。下面是一个如何执行此操作的示例:

    /opt/bro/share/bro/policy/
    下创建一个新目录。sudo mkdir
    /opt/bro/share/bro/policy/custom脚本

    将自定义脚本和
    \uuuuuu load\uuuuu.bro
    添加到此目录

    修改
    \uuuu load\uuuu.bro
    以引用自定义脚本目录中的脚本:

    @load ./script1.bro @load ./script2.bro
    
    编辑
    /opt/bro/share/bro/site/local.bro
    ,通过在文件底部添加
    @load custom scripts
    并保存文件,将新脚本加载到
    /opt/bro/share/bro/policy/custom scripts

    重启兄弟<代码>sudo so bro重启

    检查
    /nsm/bro/logs/current/loaded_scripts.log
    以查看您的自定义脚本是否已加载

    检查
    /nsm/bro/logs/current/reporter.log
    以了解自定义脚本是否按预期工作

    要查看Bro脚本是否触发了通知,请转到Kibana并查看Bro通知仪表板。或者,您可以在
    /nsm/bro/logs/current/notice.log
    中检查条目