<div dir="ltr"><div><div><div><div><div><div>Hi Erik,<br><br></div>I cannot use the megecap and merge my pcaps because I need to keep them separated.<br></div>The reason for that is that I want to keep track and eventually store the pcap file with its relevant log files produced from bro.<br></div>Therefore I want to keep the pcap file name.<br><br></div>Any ideas ?<br></div><br></div>Thanks<br><div><div><div><div><br><div><div><br></div></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Oct 30, 2016 at 9:26 PM, erik clark <span dir="ltr">&lt;<a href="mailto:philosnef@gmail.com" target="_blank">philosnef@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Run mergecap against your files and run bro against the one pcap file that way, Call it done. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Hi all,<br>
<br>
I have an issue with processing multiple pcap files in bro.<br>
Due to the fact that loading all of bro&#39;s scripts and infrastructure is a<br>
time consuming task,<br>
processing each pcap file takes longer than it should.<br>
<br>
Is there any way that a bro cluster could be up and running and have it&#39;s<br>
workers process the pcap files ?<br>
<br>
btw, it needs to be a pcap file and not live capture using tcpreplay for<br>
transmitting them because of time issues (some sessions might be very long<br>
and bro will process the pcap file faster than retransmitting the same pcap<br>
file).<br>
<br>
If anyone can think of a better way to accomplish it, I am free for offers<br>
:)<br>
<br></blockquote></div></div></div>
<br>______________________________<wbr>_________________<br>
Bro mailing list<br>
<a href="mailto:bro@bro-ids.org">bro@bro-ids.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.<wbr>EDU/mailman/listinfo/bro</a><br></blockquote></div><br></div>