<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" id="owaParaStyle"></style>
</head>
<body fpstyle="1" ocsi="0">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Look here: &nbsp;<a href="https://www.bro.org/sphinx-git/scripting/index.html#data-types-revisited" target="_blank">https://www.bro.org/sphinx-git/scripting/index.html#data-types-revisited</a>
<div><br>
</div>
<div>I'm relatively new to Bro as well so if I am wrong or this can be done a better way please someone correct me.<br>
<div><br>
</div>
<div>The connection record holds information on the current connection only. &nbsp;It is not an array of all connections. &nbsp;To do what I think you are trying to do I would create another record and then an array of that record. &nbsp;Something like this.</div>
<div><br>
</div>
<div>global dns_info: table[addr] of string;</div>
<div><br>
</div>
<div>This creates a table referenced by IP addresses.</div>
<div><br>
</div>
<div>Then you can use dns_info[c$id$orig_h] = query</div>
<div><br>
</div>
<div>The record definition would be:</div>
<div><br>
</div>
<div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">type dns_rec: record {</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;"><span style="font-family: Tahoma; font-size: 10pt;">dns_info: vector of string</span><span class="" style="white-space: pre;"></span></div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">};</div>
</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;"><br>
</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">global dns_stuff: &nbsp;table[addr] of dns_rec</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;"><br>
</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">The above will yield a table of dns_recs. &nbsp;You can add other fields into the record that you need. &nbsp;This table of dns_rec can be referenced by:</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;"><br>
</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">dns_stuff[c$id$orig]$dns_info</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;"><br>
</div>
<div style="font-family: 'Times New Roman'; font-size: 16px;">Hope I didn't miss your question entirely.</div>
<div><br>
</div>
<div>
<div>
<div style="font-family:Tahoma; font-size:13px">
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt; font-family:Calibri,sans-serif">
<br>
</p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt; font-family:Calibri,sans-serif">
thanks,</p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt; font-family:Calibri,sans-serif">
Brian</p>
</div>
</div>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<div>
<div dir="ltr">
<div></div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>