Zeek手册翻译之一: 快速开始向导
Bro log日志
处理网络协议分析的日志通常是这样开始的:时间戳、唯一连接标识符(uid)和连接4元组(发起方主机/端口和响应方主机/端口)。uid可用于标识与给定连接4元组在其生存期内关联的所有记录的活动(可能跨多个日志文件)。
然后,协议特定日志的其余列将详细说明正在发生的与协议相关的活动。例如,http.log接下来的几列(简写)显示了对bro网站根目录的请求:
# method host uri referrer user_agent
GET bro.org / - <...>Chrome/12.0.742.122<...>
一些日志值得明确提及:
Conn.log连接日志
包含在线路上看到的每个连接的条目,其基本属性包括时间和持续时间、发起方和响应方IP地址、服务和端口、有效负载大小等等。此日志提供网络活动的全面记录。
Notice.log
标识bro认为可能有趣、奇怪或不好的特定活动。在bro中,这种活动被称为“通知”。
将Bro日志转换为JSON
默认情况下,Bro日志是TSV(制表符分隔值)文件! 但对于ElasticSearch而言,使用JSON文件可以更高效地运行。
我们只需在/usr/share/bro/share/site/bro.local文件的末尾添加以下内容即可:
@load tuning/json-logs
redef LogAscii::json_timestamps = JSON::TS_ISO8601;
redef LogAscii::use_json = T;
接着,我们重启Bro。现在,我们所有的日志文件都应该已经转换为了JSON格式。
//这种方式测试无效,最终修改了share\bro\base\frameworks\logging\writers\ascii.bro
将里面的use_json = F 改成了use_json = T,重启后测试成功。
sudo /usr/local/bro/bin/broctl restart
发现bro.local 添加的都是policy下的文件,base目录下应该是全部加载。
自定义bro
自定义bro的第一步可能是熟悉默认情况下它可以生成的通知,并在特定的通知发生时降低或升级所采取的操作。
官方文档中举例了2个自定义场景:
假设我们已经看了notice.log一段时间,并看到了我们想要做的两个更改:
invalid_server_cert(在note列中找到)是一种通知类型,表示建立了一个ssl连接,无法使用bro的默认信任根验证服务器的证书,但我们希望忽略它。
certificate_expired是使用过期证书建立SSL连接时触发的通知类型。我们希望在发生这种情况时发送电子邮件,但仅限于本地网络上的某些服务器。
我们已经定义了我们想要做什么,但需要知道在哪里做。答案是使用bro编程语言编写的脚本,所以让我们做一个bro脚本的快速介绍。
Bro脚本
bro提供许多预先编写的脚本,这些脚本高度可定制,以支持针对特定环境的流量分析。默认情况下,这些文件将安装到$prefix/share/bro中,并且可以通过使用.bro文件扩展名来标识。这些文件不应直接编辑,因为升级到较新版本的bro时,更改将丢失。此规则的例外是目录$prefix/share/bro/site,在该目录中可以放置本地站点特定的文件,而不必担心稍后会被删除。$prefix/share/bro下的其他主要脚本目录是base和policy。默认情况下,bro会自动加载base下的所有脚本(除非提供了-b命令行选项),它处理收集有关网络活动的基本/有用状态,或提供扩展bro功能而不产生任何性能成本的框架/实用程序。策略目录下的脚本可能更具情境性或成本更高,因此用户必须明确选择是否要加载它们。
brontrol管理的独立bro实例的默认分析配置的主要入口点是$prefix/share/bro/site/local.bro脚本。我们将在下面的部分中对此进行添加,但首先我们必须弄清楚要添加什么。
重新定义脚本选项变量
许多简单的定制只需要使用bro的redef运算符,用自己的值从标准bro脚本中重新定义变量。//作用类似修改配置文件中的配置项
标准bro脚本向用户宣传可调整选项的典型方式是使用&redef属性和const限定符定义变量。一个可重定义的常量可能看起来很奇怪,但这实际上意味着变量的值在运行时可能不会改变,但其初始值可以在解析时通过redef操作符修改。
Let’s continue on our path to modify the behavior for the two SSL notices. Looking at base/frameworks/notice/main.bro, we see that it advertises:
module Notice;
export {
...
## Ignored notice types.
const ignored_types: set[Notice::Type] = {} &redef;
}
That’s exactly what we want to do for the first notice. Add to local.bro:
redef Notice::ignored_types += { SSL::Invalid_Server_Cert }; //module名::export中定义的变量名。 这里定义忽略无效的SSL证书通知。
然后进入Brocontrol shell,在安装之前检查配置更改是否有效,然后重新启动BRO实例。“deploy”命令自动执行所有这些操作://修改local.bro后要执行deploy才生效?
既然忽略了SSL通知,那么我们来看看如何在另一个通知上发送电子邮件。notice框架有一个类似的选项,叫做emailed_types,但是使用它会为所有证书过期的SSL服务器生成电子邮件,我们只希望通过电子邮件连接到特定的服务器。有一个策略钩子实际上是用来实现被忽略的类型和电子邮件发送的类型的简单功能的,但是它是可扩展的,这样对通知采取的条件和操作可以由用户定义。
In local.bro, let’s define a new policy hook handler body:
conditional-notice.bro //定义一个自己的脚本文件
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
@load protocols/ssl/expiring-certs const watched_servers: set[addr] = { 87.98.220.10,} &redef; # Site::local_nets usually isn't something you need to modify if # BroControl automatically sets it up from networks.cfg. It's # shown here for completeness. redef Site::local_nets += { 87.98.0.0/16,}; hook Notice::policy(n: Notice::Info) //这个应该是实现日志框架的回调消息钩子 { if ( n$note != SSL::Certificate_Expired ) //访问成员变量这里用的$没有用.因为类似ip地址中用到了. return;
if ( n$id$resp_h !in watched_servers ) return;
add n$actions[Notice::ACTION_EMAIL];//如果是判断的类型则把这种日志加入到日志队列否则丢弃。 } |
$ bro -r tls-expired-cert.trace conditional-notice.bro //调用脚本分析,.trace是抓包文件
记住,要完成配置的更改,要在Brocontrol shell内执行deploy命令。
下一步
至此,我们已经学习了如何设置最基本的bro实例和调整最基本的选项。以下是关于下一步探索内容的一些建议:
- 我们只研究了如何更改通知框架中声明的选项,在其他脚本包中还有更多的选项可供查看。
- 继续阅读Using Bro章节,该章节将更深入地介绍如何使用bro;然后查看Writing Scripts,了解如何开始编写自己的脚本。
- 查看$prefix/share/bro/policy中的脚本以了解可能需要加载的其他脚本;您可以在 overview of script packages中浏览它们的文档。
- 阅读bro附带的脚本代码也是进一步了解该语言以及脚本的结构的一个很好的方法。
- 查看FAQ。
- 继续阅读下面关于将bro用作独立命令行实用程序的另一个小教程。
作为命令行工作使用
bro -i en0 //实时分析网口流量
sudo tcpdump -i en0 -s 0 -w mypackets.trace //抓.trace包
Where en0 can be replaced by the correct interface for your system as shown by e.g. ifconfig. (The -s 0 argument tells it to capture whole packets; in cases where it’s not supported use -s 65535 instead).
bro -r mypackets.trace //分析抓的包
bro
其中最后一个参数是这个bro实例将加载的特定策略脚本。这些参数不必包括.bro文件扩展名,如果相应的脚本位于默认搜索路径中,则不需要路径限定。以下目录包含在bro脚本的默认搜索路径中:
./
These prefix paths can be used to load scripts like this:
bro -r mypackets.trace frameworks/files/extract-all
This will load the
script which will cause Bro to extract all of the files it discovers in the PCAP.
您可能会注意到,从命令行加载的脚本使用bro语言中的@load指令声明对其他脚本的依赖性。这个指令类似于C/C++的包含,除了语义是:“如果没有加载这个脚本,就加载这个脚本。”
此外,如果脚本目录包含定义作为包一部分的脚本的加载bro脚本,则可以将其指定为要作为“包”加载的参数。
本地site自定义
安装的一个脚本被视为“本地站点自定义”,在升级时不会被覆盖。要使用特定站点的local.bro脚本,只需将其添加到命令行(也可以使用@load通过脚本加载):
bro -i en0 local
这会导致bro加载一个脚本,该脚本会打印关于缺少正在配置的site::local_nets变量的警告。您可以这样在命令行中提供此信息(提供“本地”子网代替示例子网):
bro -r mypackets.trace local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"
When running with Broctl, this value is set by configuring the networks.cfg file.
运行bro而不安装 //用于研发调试
对于希望直接从build/目录运行bro的开发人员(即,不执行make install),他们必须首先调整bropath,以便在build目录中查找脚本和其他文件。根据当前shell的情况选择build/bro-path-dev.sh或build/bro-path-dev.csh可以实现这一点,还可以增加路径,以便直接使用bro二进制文件:
./configure
make
source build/bro-path-dev.sh
bro