После установки Bro в режиме кластера peerstatus зависает, и генерируются только базовые журналы, а не журналы трафика.Нет журнала Conn или каких-либо других.
Вывод журнала ниже, я не заметил файл ядра, найденный в регистраторе, а также рабочий, но, как я установил из источника, не уверен насчет этого.Мой node.cfg является настройкой кластера по умолчанию.
Я ssh'ing, как root для рабочих узлов
Я отключил режим кластера и перешел на один узел, и он работает нормально.
[root@localhost 2019-06-03]# sudo broctl status
Name Type Host Status Pid Started
logger logger xxx.xxx.x.xxx running 24853 04 Jun 16:50:39
manager manager xxx.xxx.x.xxx running 24899 04 Jun 16:50:40
proxy-1 proxy xxx.xxx.x.xxx running 24944 04 Jun 16:50:42
worker-1 worker xxx.xxx.x.xyy running 16406 04 Jun 16:50:43
[root@localhost 2019-06-03]# sudo broctl top
Name Type Host Pid VSize Rss Cpu Cmd
logger logger xxx.xxx.x.xxx 24853 264M 111M 0% bro
manager manager xxx.xxx.x.xxx 24899 229M 99M 6% bro
proxy-1 proxy xxx.xxx.x.xxx 24944 228M 100M 0% bro
worker-1 worker xxx.xxx.x.xyy 16406 803M 676M 6% bro
[root@localhost 2019-06-03]# sudo broctl check
logger scripts are ok.
manager scripts are ok.
proxy-1 scripts are ok.
worker-1 scripts are ok.
[root@localhost 2019-06-03]# sudo broctl diag
[logger]
No core file found.
Bro 2.6.1
Linux 3.10.0-957.12.2.el7.x86_64
Bro plugins: (none found)
==== No reporter.log
==== stderr.log
...
[logger]
type=logger
host=xxx.xxx.x.xxx
[manager]
type=manager
host=xxx.xxx.x.xxx
[proxy-1]
type=proxy
host=xxx.xxx.x.xxx
[worker-1]
type=worker
host=xxx.xxx.x.xyy
interface=ens192