Для начала рекомендую обновить систему:
sudo apt-get update && sudo apt-get upgrade
Установим необходимые компоненты:
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev
Установим базу данных GeoIPLite:
sudo apt-get install libgeoip-dev cd ~ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz gunzip GeoLiteCity.dat.gz gunzip GeoLiteCityv6.dat.gz sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoLiteCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoLiteCityv6.dat sudo ln -s /usr/share/GeoIP/GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo ln -s /usr/share/GeoIP/GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
И так, установим Bro:
sudo mkdir /nsm sudo mkdir /nsm/bro cd ~ wget https://www.bro.org/downloads/release/bro-2.4.tar.gz tar -xvzf bro-2.4.tar.gz cd bro-2.4 ./configure --prefix=/nsm/bro make sudo make install export PATH=/nsm/bro/bin:$PATH
Посмотрим список сетевых интерфейсов и пропишем их в конфиге (на каких будет работать монитор):
ifconfig sudo nano /nsm/bro/etc/node.cfg
Укажем диапазон локальной сети:
sudo nano /nsm/bro/etc/networks.cfg
Укажем email куда слать сообщения и место размещения файла логов:
sudo nano /nsm/bro/etc/broctl.cfg
Запустим Bro:
sudo /nsm/bro/bin/broctl install start status help
Bro также можно запустить без установки:
./configure make source build/bro-path-dev.sh bro ОПЦИИ
В директории /nsm/bro/logs/ можно наблюдать логи. Чтобы смотреть любой из файлов в реальном времени можно выполнить команду:
tail -f /nsm/bro/logs/current/conn.log
Все.