你可以使用head命令来查找文本域名称:
pi@foxhound:$ head dns.log #separator \x09 #set_separator , #empty_field (empty) #unset_field - #path dns #open 2016-10-15-16-00-01 #fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto trans_id query qclass qclass_name qtype qtype_name rcode rcode_name AA TC RD RA Z answers TTLs rejected #types time string addr port addr port enum count string count string count string count string bool bool bool bool count vector[string] vector[interval] bool使用bro-cut来解析日志:
pi@foxhound:$ cat dns.log | bro-cut -D tsid.orig_h id.orig_p id.resp_h id.resp_p proto query answers TTLs基础报告:
pi@foxhound:$ bro-cut query < dns.log |sort | uniq -c | sort -rn | head -n 10如果你还需要更多的示例,你可以查看Bro提供的官方练习【传送门】。
你可以使用tail命令输出DNS日志并在客户端生成一些DNS流量:
tail -f dns.log | awk '{print $3, $7, $9}'请注意,只有conn.log才可以启用MaxMind GEOIP查询。
pi@foxhound:$ bro-cut resp_cc < conn.log| sort | uniq -c | sort -rn | head -n 10 755 US 524 RO 123 GB 49 NL 28 EU 25 IE 10 DE 7 ES 6 CA