在前面的文章中安装了zeek,这里，安装了securityonion，这里，本文讲述如何将zeek生成的日志发送到siem security onion之中。 所有日志集成的步骤分为如下几步： 日志收集配置日志发送接收日志解析配置日志展示配置 ZEEK日志收集配置 在之前raspiberry 上安装的zeek日志存在如下目录： JSON 格式日志 默认的zeek日志格式为log后缀的

第1章 网络流量与网络安全 1.2流量与网络 从宏观角度进行观察，如果将计算机网络看作一个整体，可以很容易抽象出它是由以下3个部分组成的。 1.网络终端。指连接在网络中的、能够产生或消费网络流量的软/硬件系统，是网络流量在正常情况下的起点或终点。 2.网络结构。指能够决定网络流量流动方式的软/硬件系统，是是网络流量的中转点。 3.网络流量。指一切正在网络中传输的数据。 可以看出，网络

转载，可参照文中叙述方法对日志字段扩展添加自己想要的内容，比如本采集器IP等 添加自定字段，如human_readable time字段： FILE $bro/share/bro/base/protocols/http/human_time_http.bro @load base/protocols/httpmodule HTTP;export {redef record Info +=

Bro log日志 处理网络协议分析的日志通常是这样开始的：时间戳、唯一连接标识符（uid）和连接4元组（发起方主机/端口和响应方主机/端口）。uid可用于标识与给定连接4元组在其生存期内关联的所有记录的活动（可能跨多个日志文件）。 然后，协议特定日志的其余列将详细说明正在发生的与协议相关的活动。例如，http.log接下来的几列（简写）显示了对bro网站根目录的请求： # method