久しぶりにKali linuxを触ることになり、公式サイトからダウンロードした。 www.kali.org 最近は最初からVMでダウンロードできるんだなと感動した。 (元々あったかもしれないが、知らなかった。) 初期のユーザ名/パスワードはkali/kaliらしい。 ログインし…
2019/11/26にKali Linuxの新しいバージョンが発表されて話題になっていた Windowsライクなデスクトップ環境に変更してみました。 今回のアップデートでの変更点は以下の通り公式 A new default desktop environment, Xfce New GTK3 theme (for Gnome and Xfc…
購入から半年ほど経ったのでB&o beo play E8を使ってみたレビューです。 購入に至った背景 H9iを購入して音楽ライフに満足していたのですが、夏が近づくにつれてヘッドホンは暑いということに気づいてしまいました。 イヤホンは長い間オーディオテクニカ SOL…
購入から半年ほど経ったのでB&o beo play H9iを使ってみて思ったことを綴ろうと思います。 あとで同社製イヤホンの「BeoPlay E8」についてもレビューしようと思います。 購入に至った背景 E8より先にこちらの商品を購入しました。 購入したきっかけはもとも…
Lookup Editor グラフィカルなユーザインタフェースでSplunkのルックアップを編集できるようにするAppです。 以前の記事でインストール方法をご紹介しました。 jnox.hatenablog.com メインの画面はこんな感じです。 ルックアップ一覧が並んでいて、様々な操…
この記事ではよく使うコマンドの一つ、statsを紹介します。 statsコマンド 出力結果を表にするコマンドです。 次のようなときに使います。 統計関数を使いたい 検索速度を上げたい 使い方 以下の画像の関数が利用できます(Splunk Docsより引用)。 この中から…
foreachコマンド WILDCARDマッチなどを使い特定のフィールドに対してEval式の適用など特定の処理をしてくれる便利なコマンドです。 Syntaxはこちら foreach <wc-field>... [fieldstr=<string>] [matchstr=<string>] [matchseg1=<string>] [matchseg2=<string>] [matchseg3=<string>] <subsearch> docs.splunk.com 例 timech</subsearch></string></string></string></string></string></wc-field>…
以前の記事でマルチバリューコマンドをご紹介しました。 jnox.hatenablog.com 今回はそれに関連したマルチバリューを扱う際に役立つeval関数コマンド11種類をご紹介します。 mvappend mvcount mvdedup mvfilter mvfind mvindex mvjoin mvrange mvsort mvzip …
きっかけ SquidでSSL-Bumpを設定し証明書情報をロギングできるようになったのですが、 以下のようにssl_cert_issuerとssl_cert_subjectのフィールド値に複数の属性が入っており、 値を検索しづらいため、 transformsのREGEXとFORMATを使い正規表現で各属性を…
Splunkを起動したら右上のメッセージに新しいバージョンの情報が出ていた。 現在のバージョンは7.3.0で新しいバージョンは7.3.1のようだ。 前回の記事でAppを作って設定をバックアップしたのでアップデートしてみることにしました。 ※アップデートに伴いイン…
前回Squidのアクセスログを取り込んだが、Requestフィールドにメソッド、URL、HTTPバージョンが含まれています。 今回はこれらの値を複数に分割していきます。 ※前記事の続きです。 GUIの設定からポチポチしてフィールド抽出が可能ですが、今回はrexコマンド…
以前の記事ではSearch AppやSystem Localに設定を記述していましたが、新規でAppを作成しそこで管理しようと思います。 新規App作成 Splunkのトップ画面の歯車(Appの管理)を選択します。 右上の「Appの作成」を選択します。 色々表示されるので適当に埋め…
今回はSplunk Appの追加方法をご紹介します。 splunkbaseというサイトに色々なAppやAdd-onが掲載されているので気になるものがあればインストールしてみましょう。 splunkbase.splunk.com 私は今回Lookup File Editorをインストールしようと思います。 Looku…
マルチバリューを扱うコマンド4種類をご紹介します。 マルチバリューコマンド makemv mvcombine mvexpand nomv この記事では解説しませんが、eval/stats/chart内で使える関数はこちらです。 マルチバリュー eval関数(Multivalue eval functions) 以下の記…
Splunkで正規表現を使って検索する方法をご紹介します。 大体以下のコマンドを使うことになると思います。 1. regexコマンド フィルタのみ行いたい場合 1. rexコマンド マッチした値をフィールド値として保持したい場合 1. erexコマンド 正規表現がわからな…
常にルックアップを実行したい場合に毎回コマンドを打つのは手間だと思います。 そのために用意されているのが自動ルックアップ(Autolookup)機能です。 今回は覚えにくいHTPPの応答コードを自動ルックアップし、どのような結果だったのか見やすくしたいと思…
SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップの使い方をご紹介します。 前回の続きです。 lookupコマンド 以下はlookupコマンドの使用例です。 ...| lookup <ルックアップテーブル名> <ル…
SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップ作成方法を記載します。 なお、WildCard(*)と CIDR(/)を使うにはオプション指定が必要になります。 csvファイルの文字コードはUTF-8、改行はL…
この記事ではよく使うコマンドの一つtimechartに関連したコマンドを紹介します。 SPL SplunkはSPLという言語でサーチ文を記述します。 大体以下のようにコマンド、オプション引数、フィールド名という使い方です。 パイプ(|)で複数のコマンドをつなげて所…
Squidのアクセスログを可視化するためにSplunkを導入します。 使い方は次回以降のブログでご紹介します。 Splunkとは 簡単に説明を。 あらゆるテキストデータを取り込み、 検索しやすくインデックス保存してくれるソフトウェアです。 独自の検索文 (SPL: Sp…
モチベーション HTTPSのサイトのパス、クエリを可視化したい HTTPSの通信をロギングするにあたり、銀行やショッピングサイトのクエリまでロギングしたくない(MITMしたくない) 通信許可しないサイトはブロックしたい ということがあり、ACLで設定してみました…
設定はsquid.confで行います。 ※私の環境では「/usr/local/squid/etc/squid.conf」でした。 必須の設定は2つで「ログフォーマットの定義」と「ログ出力ファイルの指定」です。 ログフォーマットの定義 以下のように名前とログフォーマットの指定を行います。…
HTTPSの暗号化通信を可視化(復号)するため Squid 4.7にssl bumpをインストールしたので作業メモ ssl bumpの設定 予めconfigure時に「--enable-ssl-crtd --with-openssl」を指定する必要があります。 設定されてないからは以前書いた記事を参考にしてみてく…
今日は我が家のPCやスマホ等の通信をロギングするためのプロキシサーバーを構築しようと思います。 まずこの記事ではインストールと起動まで このブログではOSはKali linuxを使っていきます。 OS情報 Linux kali 4.19.0-kali4-amd64 #1 SMP Debian 4.19.28-2…
先日インストールしたばかりのkali linuxにてsshログインを試みたものの ssh先のキーボードレイアウトが、 矢印キーやバックスペースがタブ?に置き換えられて文字入力に困ったため修正した際のメモ。 「stty erase ^H」で症状が回復するという記事がチラホ…
今回は数値計算に使うbcコマンドを利用する. この変換は2進数,8進数,16進数だけでなく進数に対応している. 進数変換は次のようにタイプする. echo "obase=; ibase=; " | bc ・ibaseには入力する数値の進数 ・obaseには出力する数値(変換後)の進数 ↓こ…
nethunter v3.0の(marshmallow)をnexus9にいれたので作業メモ. 基本的にこのwiki通りに進めていけば問題ないはずですが... 途中でつまづきました.試される方は自己責任で. github.com 準備 サポートデバイス(nexus系とOnePlus)が上記サイトの1.0節に記…