我正在使用命令行参数-r inputfile.pcap在单个pcap文件上运行zeek / bro。如何在Bro脚本中访问此输入文件的文件名?我想将conn.log重命名为inputfile_conn.log。
据我所知,这是不可能的。一方面,您似乎可以在命令行上将多个pcap文件提供给zeek,并且它们都是并行打开的。在这种情况下,将不会正确回答“正在处理哪些pcap?”。无论如何,我找不到任何暴露给脚本的方法。
我建议您通过使用将文件名放入环境变量的脚本包装zeek来解决此问题。然后,在脚本中,可以使用getenv获取存储在环境变量中的值。