для WINDOWS DNS logstash:
WINDNS %{NUMBER:log_date} %{TIME:log_time} %{WORD:dns_thread_id} %{WORD:dns_context}%{SPACE}%{WORD:dns_packet_id} %{WORD:dns_ip_protocol} %{WORD:dns_direction} %{IP:dns_client_address}%{SPACE}%{WORD:dns_xid}%{SPACE}(?:Q|R|U) ?(Q|R|U)?%{SPACE}[%{GREEDYDATA:dns_hex_flags}%{SPACE}%{WORD:dns_response}]%{SPACE}%{WORD:dns_recordtype}%{SPACE}([1-9][0-9]?)%{GREEDYDATA:dns_query_name}
рабочая версия
(?<timestamp>%{DATE_US} %{TIME} (?:AM|PM))\s+%{WORD:dns_thread_id} %{WORD:dns_context}\s+%{BASE16NUM}\s+%{WORD:dns_protocol}\s+%{WORD:dns_direction}\s+%{IPV4:dns_ip}\s+%{BASE16NUM}\s+%{SPACE}(?:Q|R|U) ?(Q|R|U)?%{SPACE}+\[%{BASE16NUM}\s+%{WORD}\s+%{WORD:dns_result}+\]\s+%{WORD:dns_record}\s+%{GREEDYDATA:dns_domain}
выбрать из лога все запущенные файлы windows
cat 09-14.log | grep -o -i -P '[a-z][:][\s\\a-z0-9]*.(exe|com|msi)' | sort -u
cat 08-09.log | grep vlan | awk '{print $12 " "$13" "$14" "$15" "$16" "$17}'| sort | uniq > soe
ссылки:
https://gist.github.com/markwalkom/3766250c5f6b6206bafcc6c23562b3fc
Комментариев нет :
Отправить комментарий