# üõ°Ô∏è Simula√ß√£o de Ataques e Troubleshooting SIMIR

## üìã Vis√£o Geral
Este notebook fornece um guia completo para:
- ‚úÖ **Diagnosticar** por que o `notice.log` n√£o est√° sendo gerado
- üéØ **Simular ataques** reais de uma m√°quina Linux na mesma rede
- üîç **Verificar detec√ß√µes** de port scan e for√ßa bruta
- üõ†Ô∏è **Solucionar problemas** comuns do sistema SIMIR

## ‚ö†Ô∏è Pr√©-requisitos
- Sistema SIMIR rodando (container Zeek ativo)
- Notebook Linux conectado na mesma rede
- Ferramentas: `nmap`, `hydra`, `ssh`, `curl`, `docker`
- Permiss√µes sudo (para comandos Docker)

## üìñ Como Usar
1. Execute cada c√©lula sequencialmente
2. Verifique os outputs para identificar problemas
3. Ajuste configura√ß√µes conforme necess√°rio
4. Execute simula√ß√µes de ataque com responsabilidade

---

## üîç Se√ß√£o 1: Verifica√ß√£o do Notice.log

### Problema Principal
O arquivo `notice.log` **n√£o est√° sendo criado** ou est√° vazio. Isso geralmente indica:
- Scripts de detec√ß√£o n√£o carregados
- Falta de atividade que gere alertas
- Problemas de configura√ß√£o do Zeek
- Erros de sintaxe nos scripts

Vamos diagnosticar sistematicamente!

In [None]:
import subprocess
import os
import time
from datetime import datetime

def run_command(cmd, description=""):
    """Executa comando e exibe resultado formatado"""
    print(f"üîß {description}")
    print(f"üíª Executando: {cmd}")
    print("‚îÄ" * 50)
    
    try:
        result = subprocess.run(cmd, shell=True, capture_output=True, text=True, timeout=30)
        if result.stdout:
            print("‚úÖ Output:")
            print(result.stdout)
        if result.stderr:
            print("‚ö†Ô∏è Error/Warning:")
            print(result.stderr)
        if result.returncode != 0:
            print(f"‚ùå Exit code: {result.returncode}")
        print("\n" + "="*70 + "\n")
        return result
    except subprocess.TimeoutExpired:
        print("‚è∞ Timeout: Comando demorou mais de 30 segundos")
        print("\n" + "="*70 + "\n")
        return None
    except Exception as e:
        print(f"‚ùå Erro: {e}")
        print("\n" + "="*70 + "\n")
        return None

# Verificar status do container Docker
run_command("sudo docker-compose ps", "Verificando status do container SIMIR")

# Verificar se o notice.log existe
run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log", 
           "Verificando se notice.log existe")

# Verificar outros logs para garantir que Zeek est√° funcionando
run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/", 
           "Listando todos os arquivos de log")

## üìú Se√ß√£o 2: Verifica√ß√£o dos Scripts Zeek

### Scripts Cr√≠ticos para Detec√ß√£o
O SIMIR depende de scripts personalizados para gerar alertas:
- `port-scan-detector.zeek` - Detec√ß√£o de port scan
- `brute-force-detector.zeek` - Detec√ß√£o de for√ßa bruta
- `local.zeek` - Configura√ß√£o principal

Se estes n√£o estiverem carregados, **nenhum alerta ser√° gerado**!

In [None]:
# Verificar quais scripts est√£o carregados
run_command("sudo docker exec SIMIR_Z grep -i 'port-scan\\|brute-force\\|local.zeek' /usr/local/zeek/logs/current/loaded_scripts.log", 
           "Verificando scripts de detec√ß√£o carregados")

# Verificar status do Zeek
run_command("sudo docker exec SIMIR_Z zeekctl status", 
           "Verificando status do processo Zeek")

# Verificar se h√° erros no reporter.log
run_command("sudo docker exec SIMIR_Z cat /usr/local/zeek/logs/current/reporter.log", 
           "Verificando erros relatados pelo Zeek")

# Verificar se os scripts existem no diret√≥rio correto
run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/share/zeek/site/", 
           "Verificando scripts no diret√≥rio site")

run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/spool/installed-scripts-do-not-touch/site/", 
           "Verificando scripts instalados")

## üîß Se√ß√£o 3: Diagn√≥stico do Container e Configura√ß√£o

### Problemas Comuns
- Scripts n√£o instalados ap√≥s modifica√ß√µes
- Zeek n√£o reiniciado ap√≥s mudan√ßas
- Problemas de interface de rede
- Configura√ß√µes de Notice::policy incorretas

### Solu√ß√µes Autom√°ticas
Vamos tentar corrigir os problemas mais comuns automaticamente:

In [None]:
# Fun√ß√£o para corrigir problemas automaticamente
def fix_zeek_issues():
    print("üîß TENTANDO CORRIGIR PROBLEMAS AUTOMATICAMENTE")
    print("="*60)
    
    # Reinstalar scripts (CR√çTICO!)
    run_command("sudo docker exec SIMIR_Z zeekctl install", 
               "Reinstalando scripts Zeek")
    
    # Reiniciar Zeek
    run_command("sudo docker exec SIMIR_Z zeekctl restart", 
               "Reiniciando Zeek")
    
    # Aguardar inicializa√ß√£o
    print("‚è∞ Aguardando 10 segundos para inicializa√ß√£o...")
    time.sleep(10)
    
    # Verificar status ap√≥s corre√ß√£o
    run_command("sudo docker exec SIMIR_Z zeekctl status", 
               "Verificando status ap√≥s corre√ß√£o")

# Executar corre√ß√µes
fix_zeek_issues()

# Verificar se notice.log foi criado agora
run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log", 
           "Verificando notice.log ap√≥s corre√ß√µes")

## üéØ Se√ß√£o 4: Simula√ß√£o de Port Scan

### Objetivo
Gerar tr√°fego de port scan para testar se o sistema de detec√ß√£o est√° funcionando.

### ‚ö†Ô∏è IMPORTANTE - Configura√ß√£o de Rede
Antes de executar, voc√™ precisa:
1. **Identificar o IP do servidor SIMIR** na sua rede
2. **Confirmar que est√° na mesma rede** que o SIMIR
3. **Usar apenas em ambiente de teste**

### Descoberta da Rede

In [None]:
import socket
import ipaddress

def get_network_info():
    """Descobrir informa√ß√µes da rede local"""
    print("üåê DESCOBRINDO INFORMA√á√ïES DA REDE")
    print("="*50)
    
    # Descobrir IP local
    try:
        # Conectar a um IP externo para descobrir interface local
        s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        s.connect(("8.8.8.8", 80))
        local_ip = s.getsockname()[0]
        s.close()
        
        print(f"üñ•Ô∏è  IP Local: {local_ip}")
        
        # Calcular rede
        network = ipaddress.IPv4Network(f"{local_ip}/24", strict=False)
        print(f"üåç Rede: {network}")
        
        return local_ip, str(network.network_address)
    except Exception as e:
        print(f"‚ùå Erro ao descobrir rede: {e}")
        return None, None

# Descobrir rede
local_ip, network_base = get_network_info()

# Verificar se nmap est√° instalado
run_command("which nmap", "Verificando se nmap est√° instalado")

if not local_ip:
    print("‚ùå N√£o foi poss√≠vel descobrir a rede. Configure manualmente:")
    print("1. Execute: ip addr show")
    print("2. Identifique seu IP local")
    print("3. Configure a vari√°vel target_ip abaixo")
    target_ip = "192.168.1.100"  # CONFIGURE ESTE IP!
else:
    # Sugerir IP do SIMIR (geralmente o gateway ou um IP pr√≥ximo)
    target_ip = input(f"üéØ Digite o IP do servidor SIMIR (sua rede √© {network_base}/24): ")
    if not target_ip:
        # Usar IP base + 1 como padr√£o (gateway comum)
        target_ip = f"{network_base.rsplit('.', 1)[0]}.1"

print(f"üéØ Alvo definido: {target_ip}")
print(f"üñ•Ô∏è  Atacante: {local_ip}")

In [None]:
# CONFIGURA√á√ÉO DO ALVO - AJUSTE CONFORME SUA REDE
TARGET_IP = "192.168.1.100"  # ‚ö†Ô∏è CONFIGURE ESTE IP PARA O SERVIDOR SIMIR!

print(f"üéØ INICIANDO SIMULA√á√ÉO DE PORT SCAN")
print(f"Alvo: {TARGET_IP}")
print("="*50)

# Verificar se o alvo est√° acess√≠vel
run_command(f"ping -c 3 {TARGET_IP}", f"Testando conectividade com {TARGET_IP}")

# 1. Port Scan SYN (r√°pido e discreto)
print("üîç EXECUTANDO SYN SCAN...")
run_command(f"sudo nmap -sS -F {TARGET_IP}", 
           f"Port Scan SYN nas portas mais comuns")

# 2. Port Scan TCP Connect (mais detect√°vel)
print("üîç EXECUTANDO TCP CONNECT SCAN...")
run_command(f"nmap -sT -p 22,23,80,443,21,25,53,135,139,445,993,995,3389 {TARGET_IP}", 
           f"Port Scan TCP em portas cr√≠ticas")

# 3. Port Scan UDP (para detectar servi√ßos UDP)
print("üîç EXECUTANDO UDP SCAN...")
run_command(f"sudo nmap -sU -p 53,67,68,123,161,514 {TARGET_IP}", 
           f"Port Scan UDP em portas comuns")

# 4. Scan intensivo (muitas portas para garantir detec√ß√£o)
print("üîç EXECUTANDO SCAN INTENSIVO...")
run_command(f"nmap -p 1-1000 {TARGET_IP}", 
           f"Port Scan intensivo (portas 1-1000)")

print("‚úÖ SIMULA√á√ÉO DE PORT SCAN CONCLU√çDA!")
print("üîç Agora vamos verificar se foi detectado...")

## üîê Se√ß√£o 5: Simula√ß√£o de For√ßa Bruta

### Tipos de Ataques a Simular
1. **SSH Brute Force** - M√∫ltiplas tentativas de login SSH
2. **FTP Brute Force** - Tentativas de autentica√ß√£o FTP
3. **HTTP Brute Force** - Ataques a formul√°rios web
4. **For√ßa Bruta Gen√©rica** - Conex√µes rejeitadas m√∫ltiplas

### ‚ö†Ô∏è √âtica e Responsabilidade
- Use **APENAS** em ambientes de teste
- **N√ÉO** execute contra sistemas que n√£o s√£o seus
- Finalidade: **Testar o sistema de detec√ß√£o SIMIR**

In [None]:
import threading
import time

print(f"üîê INICIANDO SIMULA√á√ÉO DE FOR√áA BRUTA")
print(f"Alvo: {TARGET_IP}")
print("="*50)

# 1. SSH Brute Force Simulation
def ssh_bruteforce_simulation():
    """Simula tentativas de SSH brute force"""
    print("üîë SIMULANDO SSH BRUTE FORCE...")
    
    # Lista de usu√°rios comuns para testar
    usernames = ['admin', 'root', 'user', 'test', 'guest', 'ubuntu', 'centos']
    
    for i, username in enumerate(usernames, 1):
        cmd = f"ssh -o ConnectTimeout=3 -o StrictHostKeyChecking=no {username}@{TARGET_IP} 'exit' 2>/dev/null"
        print(f"  Tentativa {i}: {username}@{TARGET_IP}")
        subprocess.run(cmd, shell=True, capture_output=True)
        time.sleep(1)  # Pausa entre tentativas
    
    # Tentativas adicionais com usu√°rios repetidos
    for i in range(5):
        cmd = f"ssh -o ConnectTimeout=2 -o StrictHostKeyChecking=no admin@{TARGET_IP} 'exit' 2>/dev/null"
        subprocess.run(cmd, shell=True, capture_output=True)
        time.sleep(0.5)

# 2. FTP Brute Force Simulation  
def ftp_bruteforce_simulation():
    """Simula tentativas de FTP brute force"""
    print("üóÇÔ∏è  SIMULANDO FTP BRUTE FORCE...")
    
    # Verificar se FTP est√° dispon√≠vel
    cmd = f"nc -z -v {TARGET_IP} 21"
    result = subprocess.run(cmd, shell=True, capture_output=True)
    
    if result.returncode == 0:
        print("  ‚úÖ Servi√ßo FTP encontrado, simulando ataques...")
        # Usar curl para tentativas FTP
        for i in range(10):
            cmd = f"curl -u admin:password123 ftp://{TARGET_IP}/ --connect-timeout 3 2>/dev/null"
            subprocess.run(cmd, shell=True, capture_output=True)
            time.sleep(0.5)
    else:
        print("  ‚ö†Ô∏è Servi√ßo FTP n√£o encontrado, pulando...")

# 3. HTTP Brute Force Simulation
def http_bruteforce_simulation():
    """Simula tentativas de HTTP brute force"""
    print("üåê SIMULANDO HTTP BRUTE FORCE...")
    
    # Tentar diferentes endpoints comuns
    endpoints = ['/admin', '/login', '/wp-admin', '/admin.php', '/login.php']
    
    for endpoint in endpoints:
        for i in range(5):
            # Simular POST requests de login
            cmd = f"curl -X POST -d 'username=admin&password=password{i}' http://{TARGET_IP}{endpoint} --connect-timeout 3 -s -o /dev/null"
            subprocess.run(cmd, shell=True, capture_output=True)
            
            # Simular GET requests com autentica√ß√£o b√°sica
            cmd = f"curl -u admin:password{i} http://{TARGET_IP}{endpoint} --connect-timeout 3 -s -o /dev/null"
            subprocess.run(cmd, shell=True, capture_output=True)
            time.sleep(0.3)

# 4. For√ßa Bruta Gen√©rica (conex√µes rejeitadas)
def generic_bruteforce_simulation():
    """Simula conex√µes m√∫ltiplas rejeitadas"""
    print("üîß SIMULANDO FOR√áA BRUTA GEN√âRICA...")
    
    # Tentar conectar em portas fechadas m√∫ltiplas vezes
    closed_ports = [8080, 9090, 9999, 8888, 7777, 6666, 5555]
    
    for port in closed_ports:
        for i in range(3):
            cmd = f"nc -z -w 1 {TARGET_IP} {port} 2>/dev/null"
            subprocess.run(cmd, shell=True, capture_output=True)
            time.sleep(0.2)

# Executar simula√ß√µes em paralelo para maior realismo
print("üöÄ Executando simula√ß√µes em paralelo...")

threads = [
    threading.Thread(target=ssh_bruteforce_simulation),
    threading.Thread(target=ftp_bruteforce_simulation),
    threading.Thread(target=http_bruteforce_simulation),
    threading.Thread(target=generic_bruteforce_simulation)
]

# Iniciar todas as threads
for thread in threads:
    thread.start()

# Aguardar conclus√£o
for thread in threads:
    thread.join()

print("‚úÖ SIMULA√á√ÉO DE FOR√áA BRUTA CONCLU√çDA!")
print("üîç Aguardando alguns segundos para processamento pelo Zeek...")
time.sleep(5)

## üìä Se√ß√£o 6: Monitoramento da Detec√ß√£o

### Verifica√ß√£o de Resultados
Agora vamos verificar se os ataques simulados foram detectados pelo SIMIR:

1. **Notice.log** - Arquivo principal de alertas
2. **Conn.log** - Registros de conex√µes para an√°lise
3. **Alertas espec√≠ficos** - Port scan e for√ßa bruta
4. **Estat√≠sticas** - Contagem de detec√ß√µes

In [None]:
def check_detections():
    """Verifica se os ataques foram detectados"""
    print("üîç VERIFICANDO DETEC√á√ïES")
    print("="*50)
    
    # 1. Verificar se notice.log foi criado
    result = run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log", 
                        "Verificando se notice.log existe agora")
    
    if "No such file" in result.stderr if result else True:
        print("‚ùå PROBLEMA: notice.log ainda n√£o existe!")
        print("üí° Isso indica que os scripts n√£o est√£o gerando alertas.")
        return False
    
    # 2. Verificar conte√∫do do notice.log
    run_command("sudo docker exec SIMIR_Z cat /usr/local/zeek/logs/current/notice.log", 
               "Conte√∫do completo do notice.log")
    
    # 3. Verificar alertas espec√≠ficos de Port Scan
    run_command("sudo docker exec SIMIR_Z grep -i 'PortScan\\|Port_Scan' /usr/local/zeek/logs/current/notice.log", 
               "Alertas de Port Scan detectados")
    
    # 4. Verificar alertas espec√≠ficos de For√ßa Bruta
    run_command("sudo docker exec SIMIR_Z grep -i 'BruteForce\\|Brute_Force' /usr/local/zeek/logs/current/notice.log", 
               "Alertas de For√ßa Bruta detectados")
    
    # 5. Contar total de alertas
    run_command("sudo docker exec SIMIR_Z wc -l /usr/local/zeek/logs/current/notice.log", 
               "Total de linhas no notice.log")
    
    # 6. Verificar conex√µes do nosso IP nos logs
    if local_ip:
        run_command(f"sudo docker exec SIMIR_Z grep '{local_ip}' /usr/local/zeek/logs/current/conn.log | head -10", 
                   f"Conex√µes do IP atacante ({local_ip}) no conn.log")
    
    # 7. Verificar conex√µes rejeitadas (S0, REJ)
    run_command("sudo docker exec SIMIR_Z grep -E 'S0|REJ' /usr/local/zeek/logs/current/conn.log | head -10", 
               "Conex√µes rejeitadas no conn.log")
    
    return True

# Executar verifica√ß√µes
detections_found = check_detections()

# 8. Monitoramento em tempo real (√∫ltimos 30 segundos)
print("\nüî¥ MONITORAMENTO EM TEMPO REAL")
print("="*50)
print("Executando novos ataques e monitorando em tempo real...")

# Executar um novo scan r√°pido
def quick_scan():
    time.sleep(2)
    subprocess.run(f"nmap -sS -F {TARGET_IP} >/dev/null 2>&1", shell=True)

# Iniciar scan em background
scan_thread = threading.Thread(target=quick_scan)
scan_thread.start()

# Monitorar logs em tempo real por 15 segundos
run_command("timeout 15 sudo docker exec SIMIR_Z tail -f /usr/local/zeek/logs/current/notice.log", 
           "Monitoramento em tempo real do notice.log (15 segundos)")

scan_thread.join()

## üõ†Ô∏è Se√ß√£o 7: Troubleshooting e Solu√ß√µes

### Cen√°rios Poss√≠veis

#### ‚úÖ **SUCESSO**: Notice.log criado com alertas
- Sistema funcionando perfeitamente
- Detec√ß√µes de port scan e/ou for√ßa bruta encontradas
- Continue monitorando e ajustando thresholds conforme necess√°rio

#### ‚ö†Ô∏è **PARCIAL**: Notice.log existe, mas sem alertas de port scan/for√ßa bruta
- Scripts carregados, mas thresholds muito altos
- Ataques n√£o suficientemente intensos
- Necess√°rio ajustar configura√ß√µes

#### ‚ùå **PROBLEMA**: Notice.log n√£o existe ou vazio
- Scripts n√£o carregados corretamente
- Problemas de configura√ß√£o do Zeek
- Notice::policy n√£o configurado

### Solu√ß√µes Autom√°ticas

In [None]:
def comprehensive_troubleshooting():
    """Troubleshooting completo e autom√°tico"""
    print("üîß TROUBLESHOOTING COMPLETO")
    print("="*60)
    
    # 1. Verificar se scripts existem no diret√≥rio site
    print("\n1Ô∏è‚É£ VERIFICANDO SCRIPTS...")
    run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/share/zeek/site/", 
               "Listando scripts no diret√≥rio site")
    
    # 2. Verificar conte√∫do do local.zeek
    print("\n2Ô∏è‚É£ VERIFICANDO LOCAL.ZEEK...")
    run_command("sudo docker exec SIMIR_Z cat /usr/local/zeek/share/zeek/site/local.zeek", 
               "Conte√∫do do local.zeek")
    
    # 3. For√ßar reinstala√ß√£o e restart
    print("\n3Ô∏è‚É£ FOR√áANDO REINSTALA√á√ÉO...")
    run_command("sudo docker exec SIMIR_Z zeekctl stop", "Parando Zeek")
    run_command("sudo docker exec SIMIR_Z zeekctl install", "Reinstalando scripts")
    run_command("sudo docker exec SIMIR_Z zeekctl start", "Iniciando Zeek")
    
    time.sleep(10)  # Aguardar inicializa√ß√£o
    
    # 4. Verificar status ap√≥s restart
    print("\n4Ô∏è‚É£ VERIFICANDO STATUS AP√ìS RESTART...")
    run_command("sudo docker exec SIMIR_Z zeekctl status", "Status do Zeek")
    
    # 5. Executar um teste simples de notice gera√ß√£o
    print("\n5Ô∏è‚É£ TESTE DIRETO DE NOTICE...")
    # Usar o script de teste de for√ßa bruta se existir
    run_command("test -f scripts/test-brute-force.sh && ./scripts/test-brute-force.sh || echo 'Script de teste n√£o encontrado'", 
               "Executando teste de for√ßa bruta do SIMIR")
    
    # 6. Verificar novamente ap√≥s teste
    time.sleep(5)
    run_command("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log", 
               "Verifica√ß√£o final do notice.log")
    
    # 7. Se ainda n√£o funcionar, mostrar configura√ß√£o manual
    result = subprocess.run("sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log", 
                           shell=True, capture_output=True, text=True)
    
    if "No such file" in result.stderr:
        print("\n‚ùå NOTICE.LOG AINDA N√ÉO EXISTE!")
        print("\nüìã SOLU√á√ïES MANUAIS NECESS√ÅRIAS:")
        print("1. Verificar se os scripts personalizados est√£o no diret√≥rio correto")
        print("2. Verificar sintaxe dos scripts Zeek")
        print("3. Verificar configura√ß√£o do Notice::policy")
        print("4. Verificar logs de erro detalhados")
        
        # Mostrar logs de erro detalhados
        run_command("sudo docker exec SIMIR_Z cat /usr/local/zeek/logs/current/stderr.log", 
                   "Erros no stderr.log")
        
        run_command("sudo docker exec SIMIR_Z zeekctl diag", 
                   "Diagn√≥stico completo do Zeek")
    
    else:
        print("\n‚úÖ NOTICE.LOG EXISTE!")
        run_command("sudo docker exec SIMIR_Z cat /usr/local/zeek/logs/current/notice.log", 
                   "Conte√∫do atual do notice.log")

# Executar troubleshooting completo
comprehensive_troubleshooting()

print("\n" + "="*70)
print("üéØ RESUMO FINAL")
print("="*70)
print("‚úÖ Scripts verificados e reinstalados")
print("‚úÖ Ataques de port scan simulados") 
print("‚úÖ Ataques de for√ßa bruta simulados")
print("‚úÖ Logs verificados e monitorados")
print("\nüìä PR√ìXIMOS PASSOS:")
print("1. Verifique se h√° alertas no notice.log")
print("2. Ajuste thresholds se necess√°rio")
print("3. Configure alertas por email")
print("4. Monitore o sistema continuamente")
print("\nüîó Para mais informa√ß√µes, consulte o MANUAL_COMPLETO.md")
print("="*70)

## üéØ Configura√ß√£o de IP e Pr√≥ximos Passos

### ‚ö†Ô∏è IMPORTANTE: Configurar IP do Alvo

**Antes de executar este notebook, voc√™ DEVE:**

1. **Descobrir o IP do servidor SIMIR:**
   ```bash
   # No servidor SIMIR, execute:
   ip addr show
   # ou
   hostname -I
   ```

2. **Editar a vari√°vel TARGET_IP** na Se√ß√£o 4:
   ```python
   TARGET_IP = "SEU_IP_AQUI"  # Ex: 192.168.1.100
   ```

3. **Verificar conectividade:**
   ```bash
   ping IP_DO_SIMIR
   ```

### üîß Comandos Manuais Alternativos

Se preferir executar comandos manuais fora do notebook:

```bash
# 1. Verificar notice.log
sudo docker exec SIMIR_Z ls -la /usr/local/zeek/logs/current/notice.log

# 2. Reinstalar scripts
sudo docker exec SIMIR_Z zeekctl install
sudo docker exec SIMIR_Z zeekctl restart

# 3. Simular port scan
nmap -sS -F IP_DO_SIMIR

# 4. Verificar detec√ß√µes
sudo docker exec SIMIR_Z tail -f /usr/local/zeek/logs/current/notice.log
```

### üìö Documenta√ß√£o Adicional

- **Manual Completo**: `MANUAL_COMPLETO.md`
- **Detec√ß√£o de For√ßa Bruta**: `docs/brute-force-detection.md`
- **Scripts de Controle**: `./scripts/simir-control.sh`

---

**‚úÖ SUCESSO**: Se este notebook ajudou a resolver o problema do notice.log!  
**‚ùå PROBLEMAS**: Consulte a se√ß√£o de Troubleshooting no manual ou execute diagn√≥sticos manuais.