spicy之evt接口定义文件

已于 2022-07-26 17:17:48 修改
阅读量512 收藏
点赞数
文章标签: linux 网络
于 2022-07-26 16:45:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zz2230633069/article/details/125970701
版权
本文详细介绍了Spicy的Evt接口定义文件,包括Protocol Analyzer、Packet Analyzer和File Analyzer的格式与属性。讲解了如何定义Analyzer和Event,如设置传输层协议、属性和端口。同时阐述了数据包分析器的注册以及Spicy插件触发Zeek事件的规则,提供了具体的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#spicy 运行的方式
# (1)输入的是字符
echo "GET /index.html HTTP/1.0" | spicy-driver my-http.spicy

spicyc -j -o my-http.hlto  my-http.spicy
echo "GET /index.html HTTP/1.0" | spicy-driver my-http.hlto
echo "GET /index.html HTTP/1.0" | spicy-dump my-http.hlto

spicy-build -o a.out my-http.spicy
echo "GET /index.html HTTP/1.0" | ./a.out

# (2)输入的是pcap文件
zeek -Cr request-line.pcap my-http.spicy my-http.evt my-http.zeek
zeek -Cr request-line.pcap my-http.spicy my-http.evt my-http.zeek Spicy::enable_print=T

spicyz -o my-http-analyzer.hlto my-http.spicy my-http.evt
zeek -Cr request-line.pcap my-http-analyzer.hlto my-http.zeek

接口定义(evt 文件)

spicy不仅可以解析还能将一些信息提供给zeek。包括了analyzer和event。

Analyzer 定义:需要设置分析器的类型,设置zeek激活这些分析器的时间,以及确定使用哪些spicy的unit作为zeek的解析入口。

event 定义:明确提供给zeek的事件类型。

evt文件中使用#当作注释符。

protocol analyzer

格式如下:

 ANALYZER_NAME:保证唯一性的前提下,可以任意选择分析器的名称。一般来说,按照惯例建议名称带有spicy::前缀,如spicy::PPTP,这样做的另一个好处是规范化的名称会自动添加到zeek的Analyzer::Tag的enum中,比如spicy::PPTP变成Analyzer:ANALYZER_SPICY_PPTP。

TRANSPORT_

最低0.47元/天 解锁文章
Window日志分析
weixin_45116657的博客
10-28 2136
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
spicy(一)基本定义
zz2230633069的博客
07-29 1693
spicy简单的介绍了unit以及一些常见的字段属性
WIN7/10下如何查看EVT格式操作系统日志
weixin_42925682的博客
08-25 1243
Python解析EVT系统日志
spicy(三)compiling analyzers
zz2230633069的博客
08-11 596
spicy端的analyzer开发完毕之后,需要结合zeek端使用,这个时候就分为提前编译和即时编译
查看evt文件
点滴记录 不断进步
04-27 5976
如:C:\WINDOWS\system32\config中各种日志文件: 打开开始菜单查看器,然后点操作,找到*.evt文件打开即可。 打开的时候需要选择日志类型,比如系统日志或安全日志。 为了方便,也可以保存为TXT格式,这样以后就可以用记事本直接查看了。方法是:点击操作,选择格式为文本(*.txt)即可。
查看evt文件( windows 日志文件 )
ph11204的专栏
03-14 6503
查看evt文件 如:C:\WINDOWS\system32\config中各种日志文件: 打开开始菜单->运行,输入Eventvwr.msc或开始->控制面版->管理工具->事件查看器,然后点操作,找到*.evt文件打开即可。 打开的时候需要选择日志类型,比如系统日志或安全日志。 为了方便,也可以保存为TXT格式,这样以后就可以用记事本直接查看了。方法是:点击操作,选择
spicy-analyzers:越来越多的基于Spicy的Zeek协议和文件分析器集合
03-16
该存储库提供了一个软件包,该软件包安装了一组通过实现的协议和文件分析器。 当前,包括以下分析器: DHCP [1] DNS [1] HTTP [1] PNG 便携式可执行(PE) [2] TFTP 线卫 我们正在努力扩大这一范围。 如果您...
SPICY
10-24
标题“SPICY”可能指的是某种特定的字体或者与字体设计相关的项目。在IT行业中,字体设计是用户体验设计的重要组成部分,它影响着用户对网站、应用或文档的第一印象。"SPICY"这个标题可能是为了表达这款字体具有鲜明...
JavaScript框架:spicy-aioli主文件解析
结合文件名称"spicy-aioli-main",其中"aioli"是一种蒜泥蛋黄酱,它通常与地中海料理有关,可能暗示了项目中的某个特色功能或样式。 在"spicy-aioli-main"压缩包子文件中,我们可能会找到以下知识点: 1. **项目...
Zeek 7 正式发布!一款广受欢迎的开源网络安全监控工具
最新发布
网络技术联盟站
08-31 2206
网络安全领域,Zeek(前称Bro)一直是一款广受欢迎的开源网络安全监控工具。作为一个被广泛使用的被动流量分析器,Zeek不仅能记录网络活动,还能检测网络中的异常行为。因此,每次新版本的发布都会引起广泛关注。2024年8月,Zeek 7 正式发布,带来了其核心架构的重大升级,以及许多全新功能。本篇文章将深入探讨 Zeek 7 的主要改进,并分析这些改进对网络安全监控的重要影响。Zeek 7 在其核心架构上进行了全面的重构,这一过程旨在将系统模块化、现代化,以提高整体性能和可扩展性。
zeek_3.0.8
02-26
Zeek网络安全监视器 一个的网络流量分析和安全监控框架。 ---- 在Twitter上关注我们 。 主要特点 深入分析Zeek附带了用于许多协议的分析器,可在应用程序层进行高级语义分析。 适应性强且灵活Zeek的特定于域的脚本语言支持特定于站点的监视策略,这意味着它不限于任何特定的检测方法。 高效的Zeek以高性能网络为目标,并在各种大型站点中得到运营使用。 高状态Zeek保持有关其监视的网络的广泛应用层状态,并提供网络活动的高级存档。 入门 查找有关Zeek入门信息的最佳位置是我们的网站 ,尤其是的部分。 在该网站上,您还可以找到稳定版本的下载,有关设置Zeek的教程以及许多其他有用的资源。 您可以在找到发行说明,并在中找到所有更改的完整记录。 要使用Zeek开发分支的最新代码,请克隆主git存储库: git clone --recursive https://gith
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程 Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的Ubuntu计算机,该计算机直接连接到廉价的水龙头,而水龙头则连接到家庭路由器。 如果您没有现有的零件,我已提供了可以购买的产品,但是请随时使用您选择的任何网络接头和/或您选择的任何其他以太网适配器或电缆。 ->单击以阅读有关Medium的文章。 第2课:alert-all-notices.zeek 在本课程中,除了向您发送电子邮件之外,我们还通过记录Zeek认为值得您注意的所有通知来创建notice.log文件,该警报是Zeek值得您注意的。 ->单击以阅读有关Medium的文章。 第3课:conn.log 在本课程中,我们将显示源IP地址和端
Eventlogedit-evt--General:从Windows事件查看器日志(EVT文件中删除单独的行
03-21
Eventlogedit-evt--常规 从Windows事件查看器日志(EVT文件中删除单独的行 支持:Windows XP和Windows 2003 我的帖子有关详细信息: 稍后,我将它们翻译成英文。 笔记: WinXP和Win7,ObjectTypeNumber = 0x1c evtDeleteRecordofFile.cpp 读取一个evt文件(c:\ test \ sys1.evt),然后删除一些事件日志记录(从StartTime =“ 2018-7-16 17:46:17”到EndTime =“ 2018-7-16 17:46:40 ”)。 新的evt文件另存为c:\test\sys2.evt和c:\test\sys3.evt文件大小不同)。 sys1.evt 活动数:9 sys2.evt 事件数:8 您可以使用evtDeleteRecordofFile.cpp删
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 是用 PERL 编写的 Ms 事件 (*.evt) 日志文件的查看器。
Zeek, python 分发网页抓取器和动态爬虫.zip
09-18
Zeek, python 分发网页抓取器和动态爬虫 Zeekpython 分布式网页抓取/网页抓取器这是我的分布式网络爬虫的第一。 这是不完美的,但是我共享它,因为最终的结果更好,它可以以很容易地适应你的需求。 欢迎使用 improve/fork/report 问题。我计划继续工作,
EVT、DVT、PVT、MP是什么意思
热门推荐
一个Android菜鸟的博客
06-29 3万+
扫码关注,一起学习 PLM(Product Lifecycle Management)System:PLM是协助产品能够顺利完成在新产品开发(NPI:New Product Introduction),以及量产后的相关工程技术执行作业,大至分为五个阶段Planning(产品构想阶段). EVT(工程验证与测试阶段),DVT(设计验证与测试阶段),PVT(生产验证与测试阶段),MP(量产阶段)。 EVT(Engineering Verification Test)工程验证测试阶段 产品开发初期的设计验证。许
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值