<p dir="ltr">I would just run independent bro servers at each location and aggregate the logs to a central location out of band with a periodic rsync or perhaps a shipper like logstash. Assuming the clocks are in sync with ntp it&#39;d be easy enough to correlate logs.</p>
<div class="gmail_quote">On May 6, 2016 2:51 AM, &quot;Sven Dreyer&quot; &lt;<a href="mailto:sven@dreyer-net.de">sven@dreyer-net.de</a>&gt; wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks for the detailed information, Robin. We are unable to send the<br>
traffic of each subnet to a central bro instace because the<br>
interconnection speed is about 500 kBit/s, while the subnets have 100<br>
MBit/s or Gigabit Ethernet.<br>
<br>
I am aware that rsync over SSH is already used. I was just searching for<br>
a &quot;non-persistent&quot; connection between the workers and the central<br>
manager/proxy because of frequent outages of the interconnection lines.<br>
<br>
Thanks!<br>
Sven<br>
<br>
<br>
Am 28.04.2016 um 17:13 schrieb Robin Sommer:<br>
&gt; Actually BroControl is already using rsync over SSH, but it needs SSH<br>
&gt; for other stuff as well, as it runs commands on the worker nodes. The<br>
&gt; rsync is used for transferring the Bro setup over to the workers. The<br>
&gt; logs on the other hand are sent back via Bro&#39;s internal communication,<br>
&gt; neither SSH nor rsync involved there.<br>
&gt;<br>
&gt; Changing any of this remains tricky currently. However, we are planing<br>
&gt; to switch to a different deployment model eventually where each node<br>
&gt; maintains its Bro setup itself (so no rsync necessary anymore) and<br>
&gt; also keeps a persistent broctld running for inter-node communication<br>
&gt; (so no SSH executing commands anymore).<br>
&gt;<br>
&gt; With regards of other approaches to monitor subnets, some folks run a<br>
&gt; single-machine Bro cluster with multiple interfaces and then send each<br>
&gt; subnet&#39;s traffic to one interface. That can work pretty well in<br>
&gt; practice, but might not apply to your situation.<br>
&gt;<br>
&gt; Robin<br>
&gt;<br>
&gt; On Thu, Apr 28, 2016 at 15:43 +0200, Sven Dreyer wrote:<br>
&gt;<br>
&gt;&gt; Glenn,<br>
&gt;&gt;<br>
&gt;&gt; Am 27.04.2016 um 14:57 schrieb Glenn Forbes Fleming Larratt:<br>
&gt;&gt;&gt; Doesn&#39;t rsync default to using ssh as its transport? Also, I&#39;m not sure<br>
&gt;&gt;&gt; how using rsync vs. ssh improves things in the face of slow and<br>
&gt;&gt;&gt; unreliable networking between nodes; can you elaborate?<br>
&gt;&gt;<br>
&gt;&gt; I thought of locally collecting bro logs and have a cron job<br>
&gt;&gt; transferring the log file(s) in regular intervals. If the network is<br>
&gt;&gt; down for 5 minutes, no problem, the log files will be transferred the<br>
&gt;&gt; next time the cronjob runs.<br>
&gt;&gt;<br>
&gt;&gt; if you use &quot;rsync -e ssh&quot;, rsync uses SSH as transport, that&#39;s correct.<br>
&gt;&gt; But rsync has a standalone daemon mode and does not need SSH to be used.<br>
&gt;&gt;<br>
&gt;&gt; Thanks,<br>
&gt;&gt; Sven<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Bro mailing list<br>
&gt;&gt; <a href="mailto:bro@bro-ids.org">bro@bro-ids.org</a><br>
&gt;&gt; <a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro</a><br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
<br>
_______________________________________________<br>
Bro mailing list<br>
<a href="mailto:bro@bro-ids.org">bro@bro-ids.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro</a><br>
</blockquote></div>