轉(zhuǎn)載請注明來源:https://1990day.com/skills/brim_note.html
一拳锚、簡介
Brim是一款由美國供應(yīng)商Brim Security開發(fā)并開源的流量分析工具蒜鸡,可以輕松處理非常大的數(shù)據(jù)包捕獲(pcap)文件剔蹋。
Brim由多個開源組件構(gòu)建而成墩莫,包括:結(jié)構(gòu)化日志查詢引擎zq;用于多平臺用戶界面的Electron和React丙笋;以及從數(shù)據(jù)包捕獲文件生成網(wǎng)絡(luò)分析數(shù)據(jù)的Zeek鱼蝉。
二、安裝
該軟件支持 Win / Mac os 院尔,下載安裝即可使用蜻展。
官方下載地址:https://www.brimsecurity.com/download/
三喉誊、面板
四、語法
常用查詢
IP
目的IP:
id.resp_h=
源IP:
id.orig_h=
協(xié)議
語句:_path
例:
_path="SSL"
_path="http"
關(guān)聯(lián)
語句:and
例:查詢所有目的ip 192.168.1.30 的http日志
id.resp_h=192.168.1.30 and http
排除
語句:not
例:流量數(shù)據(jù)日志中出現(xiàn)大量web掃描日志纵顾,我要排除404無效的http請求
not status_code=404
裸詞:
需要查詢數(shù)據(jù)中包含 “l(fā)ogin” 或者 “admin” ,又或者只需要看http的請求伍茄,那么直接輸入“關(guān)鍵詞”進(jìn)行查詢。
查詢:
login
結(jié)果呈現(xiàn)如下施逾,日志查詢結(jié)果均包含login:
通配符:
要查找關(guān)鍵詞之間或旁邊可能包含任意字符串的值敷矫,可以使用一個或多個glob-style 的通配符。
例如汉额,搜索查找包含Web服務(wù)器主機(jī)名的事件曹仗,這些域名中包含字母cdn,例如www.cdn.amazon.com或 www.herokucdn.com蠕搜。
查詢:
*163.com
結(jié)果呈現(xiàn)如下怎茫,日志查詢結(jié)果均包含163.com的所有子域結(jié)果:
比如我要查詢包含163 這個字符相近的域名呢?
查詢:
www.*163*.com
它可能會出來很多近似結(jié)果妓灌,當(dāng)然這取決于你的數(shù)據(jù)日志中是否包含這些域名:
www.163-services.com
www.163e.com
www.1633.com
www.163apis.com
字段/值 匹配
可以縮小搜索范圍轨蛤,使其僅包括在特定字段中包含特定值的事件。例如旬渠,以下搜索將僅匹配指定字段指定值俱萍,該字段uid被設(shè)置為精確值ChhAfsfyuz4n2hFMe。
查詢: uid=CRqfPB2CsOdqyYSYM7
輸出了精確的查詢結(jié)果:
比較/篩選
除了通過=測試等式之外告丢,還可以使用其他常見的比較操作符 !=枪蘑、<、>岖免、<=和=>岳颇。
例如,下面的搜索查找傳輸了許多字節(jié)的連接
查詢:
orig_bytes > 1000000
輸出:
查詢字節(jié)大于 1000000 的結(jié)果颅湘。
比較查詢可以從大量相同特征中查詢不一樣特征的數(shù)據(jù)话侧,便于快速定位分析。
其他更多的搜索語法可以參考 :
