<div dir="ltr">Bingo - the dns.log is in the cwd ! <div><br></div><div>Q answered ! </div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 22, 2014 at 9:26 AM, Seth Hall <span dir="ltr">&lt;<a href="mailto:seth@icir.org" target="_blank">seth@icir.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
On Oct 22, 2014, at 9:42 AM, John Donnelly &lt;<a href="mailto:jdonnelly@dyn.com">jdonnelly@dyn.com</a>&gt; wrote:<br>
<br>
&gt; No changes made to broctl.cfg !<br>
&gt;<br>
&gt; I am running bro outside of broctl .. are those setting read by bro during startup ?<br>
<br>
</span>I&#39;m confused.  You first said that you weren&#39;t getting logs when you ran Bro outside of BroControl but then you said you were getting logs when you ran Bro with BroControl.<br>
<br>
If you run bro directly at the command line, it won&#39;t load any of the broctl scripts or implement any of the broctl configuration.  You are almost certainly seeing invalid checksums on one of the interfaces you&#39;re sniffing.  If you want to see if that&#39;s it, you could temporarily disable checksum checking with the -C flag on the command line.  I don&#39;t recommend running with that configuration for normal use though.<br>
<br>
It seemed like you were also confused about where logs would be written when running bro directly.  They should be written to your current working directory by default. :)<br>
<div class="HOEnZb"><div class="h5"><br>
  .Seth<br>
<br>
--<br>
Seth Hall<br>
International Computer Science Institute<br>
(Bro) because everyone has a network<br>
<a href="http://www.bro.org/" target="_blank">http://www.bro.org/</a><br>
<br>
</div></div></blockquote></div><br></div>