主要なイベントソースに対応する正規表現

このセクションでは、主要なイベントソースが発行するイベントの解析に使用する正規表現を紹介します。

バージョンの異なる特定のイベントソースは、異なる形式のイベントを生成する可能性があるため、このセクションで言及する正規表現は実際のものではない可能性があります。この場合、言及されている正規表現を修正する必要があります。

FireEye

FireEye 製品からのイベントには、次の正規表現が必要です：

CEF 形式のイベント

フィールド

正規表現

URL1

filePath=([^\s]*?)\s

URL2

cs5=([^\s]*?)\s

MD5

fileHash=([^\s]*?)\s

SrcIp

src=([^\s]*?)\s

DstIp

dst=([^\s]*?)\s
CSV 形式のイベント

フィールド

正規表現

URL1

cnchost=([^,]*?),

URL2

objurl=([^,]*?),

MD5

fileHash=([^,]*?),

SrcIp

src=([^,]*?),

DstIp

dst=([^,]*?),

Blue Coat® SG

Blue Coat SG 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

URL

OBSERVED\s"(?:.*?)"\s(.*?)\s

URL2

http\s(.*?)\s\d+\s(.*?)\s

Websense

Websense 製品からのイベントには、次の正規表現が必要です：

CEF イベント

フィールド

正規表現

URL

request\=(.*?)(?:\s|$)

IP アドレス

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
LEEF イベント

フィールド

正規表現

URL

url\=(.*?)(?:\s|$)

IP アドレス

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
キー値ペア

フィールド

正規表現

URL

url\=(.*?)(?:\s|$)

IP アドレス

dst_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)

Squid

Squid 製品からのイベントには、次の正規表現が必要です：

フィールド	正規表現
URL	`(?:GET\|POST)\s(.*?)(?:\s)`

McAfee Web Gateway

McAfee® Web Gateway 製品からのイベントには、次の正規表現が必要です：

標準イベント

フィールド

正規表現

URL

url\=(.*?)(?:\|)

IP アドレス

server_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\|)
CEF イベント

フィールド

正規表現

URL

request\=(.*?)(?:\s|$)

IP アドレス

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
SYSLOG イベント

フィールド

正規表現

URL

(?:GET|POST)\s(.*?)(?:\s)

Check Point URL Filtering

Check Point URL Filtering 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

IP アドレス

(?:dst)\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Juniper Networks SRX

Juniper Networks SRX 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

IP アドレス

(?:\sdestination-address)\="(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"\s

Check Point Firewall

Check Point Firewall 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

IP アドレス

dst\:(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Palo Alto Networks

Palo Alto Networks 製品からのイベントには、次の正規表現が必要です：

LEEF イベント

フィールド

正規表現

IP アドレス

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
SYSLOG イベント

フィールド

正規表現

IP アドレス

(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
CEF イベント

フィールド

正規表現

IP アドレス

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)

Fortinet FortiGate

Fortinet FortiGate 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

IP アドレス

(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Cisco IPS

Cisco IPS 製品からのイベントには、次の正規表現が必要です：

フィールド	正規表現
IP アドレス	`(?:dst.?\|to.?\|Dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`

Snort

Snort® 製品からのイベントには、次の正規表現が必要です：

UNIFIED2 イベント

フィールド

正規表現

IP アドレス

(?:destination.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
CSV イベント

フィールド

正規表現

IP アドレス

(?:.*?,.*?,.*?,.*?,)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

または、すべての種別のイベントの解析に対して次の正規表現を使用できます：

フィールド	正規表現
IP アドレス	`(?:destination.?\|.?,.?,.?,.*?,)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`

Cisco IronPort

Cisco IronPort® 製品からのイベントには、次の正規表現が必要です：

SYSLOG イベント

フィールド

正規表現

URL

(?:GET|POST)\s(.*?)\s

IP アドレス

(?:NONE|DIRECT|DEFAULT_PARENT)\/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

ページのトップに戻る

フィールド	正規表現
URL1	`filePath=([^\s]*?)\s`
URL2	`cs5=([^\s]*?)\s`
MD5	`fileHash=([^\s]*?)\s`
SrcIp	`src=([^\s]*?)\s`
DstIp	`dst=([^\s]*?)\s`

フィールド	正規表現
URL	`OBSERVED\s"(?:.?)"\s(.?)\s`
URL2	`http\s(.?)\s\d+\s(.?)\s`

フィールド	正規表現
URL	`request\=(.*?)(?:\s\|$)`
IP アドレス	`dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s\|$)`

フィールド	正規表現
URL	`url\=(.*?)(?:\s\|$)`
IP アドレス	`dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s\|$)`

フィールド	正規表現
URL	`url\=(.*?)(?:\\|)`
IP アドレス	`server_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\\|)`

フィールド	正規表現
URL	`(?:GET\|POST)\s(.*?)\s`
IP アドレス	`(?:NONE\|DIRECT\|DEFAULT_PARENT)\/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`