本文档主要介绍zeek的简单使用

一.notice优化

查看/opt/bro/logs/current 目录下有notice文件，通过cat命令发现有很多SSL certificate validation failed的错误，其实我们可以忽略

cd /opt/bro/share/zeek/base/frameworks/notice

nano main.zeek

export { ... ##/ Ignored notice types.

const ignored_types: set[Notice::Type] = {} &redef; #本语句也可以找到跟他同类的句子，放在下一行即可 }

nano /opt/bro/share/zeek/site/local.zeek

在文件末尾添加如下内容 redef Notice::ignored_types += { SSL::Invalid_Server_Cert };

上述操作完成后切换到/opt/bro/bin目录下，重新部署一下，自动重启zeek，重启后观察，notice文件中已无ssl的告警 ./zeekctl [ZeekControl] > deploy

二.如果自定义邮件通知

。。。后续完善。。。