Бро / Зик отладки логов? - PullRequest
Новая
       13

Бро / Зик отладки логов?

0 голосов
/ 04 июня 2019

Есть ли способ увидеть больше информации об отладке с Bro / Zeek? Вот что я знаю до сих пор.

  • Вход в систему диспетчера и рабочих (Stderr.log, Stdout.log)
  • статус broctl
  • broctl diag
  • broctl print & peerstatus оба зависают, поэтому бесполезны для отладки
  • Верх Broctl

У меня есть ряд ошибок при установке Bro, но журналы показывают, что все в порядке. Я предполагаю, что есть некоторые скрытые флаги отладки или что-то, или некоторые журналы, которые могут пролить некоторый свет, но я не могу их найти.

  • Broctl Peerstatus висит, а также печать
  • stderr и stdout не показывают проблем
  • Только журналы - статистика, репортер, кластер, брокер, stderr и stdout
  • Нет журналов подключений или любых других

Я нашел эту ссылку о зависании peerstatus, которая подразумевает, что есть способ включить отладку в брокколи, но я не уверен, что это правильный путь. http://mailman.icsi.berkeley.edu/pipermail/zeek/2016-December/011149.html

1 Ответ

0 голосов
/ 05 июня 2019

Да, если вы строите свой Zeek с --enable-debug, то есть дополнительная опция командной строки, которая позволяет включать / отключать несколько потоков отладки: 

$ zeek --help
...
-B|--debug <dbgstreams>        | Enable debugging output for selected streams ('-B help' for help)

$ zeek -B help

Enable debug output into debug.log with -B <streams>.
<streams> is a comma-separated list of streams to enable.

Available streams:
  serial
  rules
  state
  chunkedio
  string
  notifiers
  main-loop
  dpd
  tm
  logging
  input
  threading
  file_analysis
  plugins
  zeekygen
  pktio
  broker
  scripts

  plugin-<plugin-name>   (replace '::' in name with '-'; e.g., '-B plugin-Bro-Netmap')

Pseudo streams
  verbose  Increase verbosity.
  all      Enable all streams at maximum verbosity.

Для каждого из включенных вами потоков,затем вы найдете соответствующие записи в debug.log: 

$ zeek -B all -r test.pcap
$ head debug.log
         0.000000/1559682553.492973 [zeekygen] Made ScriptInfo base/init-bare.zeek
         0.000000/1559682553.492997 [scripts] Loading /home/christian/inst/opt/zeek/share/bro//base/init-bare.zeek
         0.000000/1559682553.493094 [serial] Write bool true [true]
         0.000000/1559682553.493099 [serial] bool SerialObj::Serialize(SerialInfo*) const [0x3668000, new pid 0, tid 528948]
         0.000000/1559682553.493103 [serial] -- Caching
         0.000000/1559682553.493105 [serial]    Write bool true [full]
         0.000000/1559682553.493122 [serial]    Write uint64 0 [pid]
         0.000000/1559682553.493126 [serial]    virtual bool EnumType::DoSerialize(SerialInfo*) const
         0.000000/1559682553.493128 [serial]       virtual bool BroType::DoSerialize(SerialInfo*) const
         0.000000/1559682553.493131 [serial]          virtual bool BroObj::DoSerialize(SerialInfo*) const
...