Bro: Записывать только один поток

Question

Моя цель - запустить команду как bro --iface <interface> и получить только conn.log, но я не могу сказать из документов или man Bro, как это сделать.

Спасибо.

Answer 1

Это заставляет вас идти:

bro -i <interface> -b base/protocols/conn 

С -b вы начинаете Бро в «голом режиме» означает, что он не загружает набор стандартных скриптов. Один из этих режимов должен был бы отключить все по умолчанию и только выборочно включать определенный анализ. В общем, вы можете предоставить произвольный список скриптов, которые поставляются с распределением Bro в командной строке. В этом случае я показываю, что он работает со сценарием, который генерирует conn.log.