轉載請註明來源:https://1990day.com/skills/brim_note.html
image
一、簡介
Brim是一款由美國供應商Brim Security開發並開源的流量分析工具,可以輕鬆處理非常大的數據包捕獲(pcap)文件。
Brim由多個開源組件構建而成,包括:結構化日誌查詢引擎zq;用於多平臺用戶界面的Electron和React;以及從數據包捕獲文件生成網絡分析數據的Zeek。
二、安裝
該軟件支持 Win / Mac os ,下載安裝即可使用。
官方下載地址:https://www.brimsecurity.com/download/
三、面板
image
四、語法
常用查詢
IP
目的IP:
id.resp_h=
源IP:
id.orig_h=
協議
語句:_path
例:
_path="SSL"
_path="http"
關聯
語句:and
例:查詢所有目的ip 192.168.1.30 的http日誌
id.resp_h=192.168.1.30 and http
排除
語句:not
例:流量數據日誌中出現大量web掃描日誌,我要排除404無效的http請求
not status_code=404
裸詞:
需要查詢數據中包含 “login” 或者 “admin” ,又或者只需要看http的請求,那麼直接輸入“關鍵詞”進行查詢。
查詢:
login
結果呈現如下,日誌查詢結果均包含login:
image
通配符:
要查找關鍵詞之間或旁邊可能包含任意字符串的值,可以使用一個或多個glob-style 的通配符。
例如,搜索查找包含Web服務器主機名的事件,這些域名中包含字母cdn,例如www.cdn.amazon.com或 www.herokucdn.com。
查詢:
*163.com
結果呈現如下,日誌查詢結果均包含163.com的所有子域結果:
image
比如我要查詢包含163 這個字符相近的域名呢?
查詢:
www.*163*.com
它可能會出來很多近似結果,當然這取決於你的數據日誌中是否包含這些域名:
www.163-services.com
www.163e.com
www.1633.com
www.163apis.com
字段/值 匹配
可以縮小搜索範圍,使其僅包括在特定字段中包含特定值的事件。例如,以下搜索將僅匹配指定字段指定值,該字段uid被設置爲精確值ChhAfsfyuz4n2hFMe。
查詢: uid=CRqfPB2CsOdqyYSYM7
輸出了精確的查詢結果:
image
比較/篩選
除了通過=測試等式之外,還可以使用其他常見的比較操作符 !=、<、>、<=和=>。
例如,下面的搜索查找傳輸了許多字節的連接
查詢:
orig_bytes > 1000000
輸出:
image
查詢字節大於 1000000 的結果。
比較查詢可以從大量相同特徵中查詢不一樣特徵的數據,便於快速定位分析。
其他更多的搜索語法可以參考 :