osquery 中用于将 Bro 日志导入到表的模块叫做 brosquery

什么？ 该项目构建了一个 OSQuery 模块libbro.so用于将bro日志作为 osquery 中的表加载。 日志从bro logs 安装目录动态加载到表中。 它们是根据日志文件名创建为表的，但bro_带有bro_ 。 例如， conn.log -> table bro_conn 。 例子 从用户界面： 构建和安装 要构建，您需要cmake 、 clang 、 git （用于 osquery 和模块构建）。 make deps make 这将创建模块./build/src/libbro. 然后，您需要将其复制到/usr/local/lib/libbro. ，然后您可以向/etc/osquery/modules.load添加一个条目： $ sudo cp -r ./build/src/libbro. < dylib> /