使用不同的系统？

• 在Ubuntu 16.04上，安装Bro IDS

介绍

Bro是一个开源网络流量分析器，它主要是一个安全监视器，检查链路上的所有流量，以获取可疑活动的迹象，但是，更一般地说，bro支持甚至在安全域之外的各种流量分析任务，包括性能测试和故障排除帮助。

前提条件

安装Bro之前，你需要确保某些依赖项已经到位：

所需的依赖项

• Libpcap库
• OpenSSL库
• BIND8库
• Libz
• Bash (针对BroControl )
• python 2.6 或更高(用于BroControl )

Sendmail不是必需的，但是，强烈建议。

步骤1更新系统

在安装任何软件包之前，建议更新系统包，运行命令dnf --assumeyes update，这会下载并安装系统软件包的最新版本，软件包管理器会自动回答是提示提供的提示，这要花一些时间。

步骤2：安装依赖项

你需要在你的系统上安装所需的软件包，运行以下命令： dnf --assumeyes install libpcap openssl python zlib sendmail

步骤3安装Bro IDS

运行命令 dnf install --assumeyes bro 此命令会bro安装到/bin目录中，现在让我们来配置它。

步骤4：配置Bro IDS

创建文件夹：mkdir -p/var/log/bro和mkdir -p/var/spool

配置node.cfg文件

由于Fedora 2x接口命名已经更改，所以，让我们来了解当前插件名称：
ls/sys/class/net ，输出应该与下面的类似： ens3 lo，或者这个：eth0 lo ，在第一种情况下我们对ens3 interface name感兴趣在第二种情况下eth0 ，，假设我们有ens3 。

现在，检查文件/etc/bro/node.cfg，运行命令less/etc/bro/node.cfg ，在第11行有网络接口规范：
interface =eth0 ，如果你的iface名称是eth0，文件就不做任何更改，并且继续下一步，，否则用ens3 >更改， 对于运行此命令，请执行以下操作： sed -i's/eth0/ens3'，选项-i代表更改该文件的位置，s会替换第一个和第二个斜杠之间的值到第二个和第三个斜杠之间的值。

配置broctl.cfg文件

将变量添加到配置文件中：
echo"LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo"SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo"LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo"CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

第5步启动brotl

现在，我们可以部署配置好的node，并且开始日志记录：

运行命令broctl deploy ，你将看到如下所示的输出：

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

如果你没有得到任何错误 - bro部署成功了。

步骤5：测试安装

现在让我们看一下日志： ls -la/var/log/bro ，输出应该与下面的类似：

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root 14 Jun 13 10:11 current -> /var/spool/bro

运行以下命令来跟踪日志： tail -f /var/log/bro/current/conn.log 从浏览器中查询你的ip ，
如果所有内容都正确配置，你将看到日志消息。

enjoy!