(1)布尔运算符(AND、OR、NOT)
日志检索系统支持三种运算符(运算符要)。
AND 运算符(AND、&& 或 +)
AND运算符关联两部分内容、代表两部分内容必须同时存在
实例:dip:10.16.16.46 AND client_os:“Windows7 or 8”
OR 运算符(OR 或 ||)
OR运算符关联两个项或短语,任意一个匹配即满足
实例:dport:“443” OR dport:“8080”
NOT 运算符(NOT、!或 -)
NOT运算符排除含有NOT运算符后面的项或短语记录。相当于非运算符。
实例:dport:“80” NOT host:“www.example.com”
(2)基本搜索语法
搜索语句一般由三大元素组成。 
(3)项
- 短语搜索运算符" " 短语运算符将短语括在引号 " " 中。 例如,Roach Motel(没有引号)会以任何顺序 在任何位置搜索包含 Roach 和/或 Motel 的文档,而 “Roach Motel”(带引号)只 会匹配包含整个短语并按该顺序排列的文档(文本分析仍然适用)。
- 优先运算符() 优先运算符将字符串括在括号 ( ) 中。 例如,motel+(wifi | luxury) 将搜索包含 motel 词条以及 wifi 或 luxury(或两者)的文档。
- 分组 ( jakarta OR apache) AND jakarta
- 字段分组 title:(+return +“pink panther”) host:(baidu OR qq OR google) AND host:(com OR cn)
(4)高级查询语法
-
通配符查询
支持在一个项内的单个和多个字符的通配符搜索。使用问号(?)表 示单个字符的通配符搜索,使用星号(*)表示多个字符的通配符搜索。 多字符的通配符搜索寻找零个或多个字符。 示例:搜索单词 mssql 或 mysql可以使用 db_type:m?sql (不加引号)
-
范围查询
查询所指定的上限和下限之间的字段值的记录匹配。可用于 数值 /时间 / IP 类型的字段。包含上下限范围的查询通过方括号和运算符 TO来表示。
注:搜索的关键字尽量不要包含特殊符号+ - && || ! ( ) { } [ ] ^ " ~ * ? : 以上特殊字符如果包含在搜索的关键字内,需要使用“”转义。
(1)分析平台日志检索
在该页面可以查看等。
- 告警日志:威胁告警、webshell上传、网页漏洞利用、网络攻击、威胁情报告警、沙箱检测告警、邮件威胁检测告警、蜜罐告警、网神云锁
- 网络日志:web访问、TCP流量、文件传输、域名解析、SSL加密传输、数据库操作、FTP控制通道、登录动作、网络异常报文、LDAP行为、邮件行为、MQ流量、网络阻断、TeInet行为、UDP流量
- 终端日志:IM文件传输、邮件附件传输、DNS访问审计、终端进程信息、U盘文件传输
1、TCP协议
-
特点
①数据分片:在发送端对用户数据进行分片,在接收端进行重组,由TCP确定分片的大小并控制分片和重组;
②到达确认:接收端接收到分片数据时,根据分片数据序号向发送端发送一个确认;
③超时重发:发送方在发送分片时启动超时定时器,如果在定时器超时之后没有收到相应的确认,重发分片;
④滑动窗口:TCP连接每一方的接收缓冲空间大小都固定,接收端只允许另一端发送接收端缓冲区所能接纳的数据,TCP在滑动窗口的基础上提供流量控制,防止较快主机致使较慢主机的缓冲区溢出;
⑤失序处理:作为IP数据报来传输的TCP分片到达时可能会失序,TCP将对收到的数据进行重新排序,将收到的数据以正确的顺序交给应用层;
⑥重复处理:作为IP数据报来传输的TCP分片会发生重复,TCP的接收端必须丢弃重复的数据;
⑦数据校验:TCP将保持它首部和数据的检验和,这是一个端到端的检验和,目的是检测数据在传输过程中的任何变化。如果收到分片的检验和有差错,TCP将丢弃这个分片,并不确认收到此报文段导致对端超时并重发。
-
三次握手
2、UDP协议
-
特点
①UDP是一个无连接协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;在接收端,UDP把每个消息段放在队列中,应用程序每次从队列中读一个消息段。
②由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。
-
报文格式
3、TCP/UDP协议字段
1、HTTP请求方式
根据HTTP标准,HTTP请求可以使用多种请求方法。
HTTP1.0定义了三种请求方法:GET、POST和HEAD方法。
HTTP1.1新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE和CONNECT方法
2、HTTP协议字段
3、HTTP状态码
4、HTTP X-Forwarded-For
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的 客户端最原始的IP地址的HTTP请求头字段。 每经过一个代理设备,设备可添加一个proxyN,这个字段是否可信取决于上一跳设 备是否可信。
X-Forwarded-For: client1, proxy1, proxy2, proxy3
5、HTTP referer
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般 会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得 一些信息用于处理。
Referer字段是分析漏洞利用行为时的重要参考字段,进行辅助溯源,判断告警 触发方式。
(1)域名
http://www.163.com/index.html
1)http://:这个是协议,也就是HTTP超文本传输协议,也就是网页在网上传输的协议。
2)www:这个是服务器名,代表着是一个邮箱服务器,所以是mail.
3)163.com:这个是域名,是用来定位网站的独一无二的名字。
- www.163.com:这个是网站名,由服务器名+域名组成。
5)/:这个是根目录,也就是说,通过网站名找到服务器,然后在服务器存放网页的根目录
6)index.html:这个是根目录下的默认网页(当然,163的默认网页是不是这个我不知道, 只是大部分的默认网页,都是index.html)
7)http://www.163.com/index.html:这个叫做URL,统一资源定位符,全球性地址,用于 定位网上的资源。
国家顶级域名:中国:cn 美国:us 英国:uk
通用顶级域名:com公司企业,edu教育机构,gov政府部门,int国际组织,mil军事部门,net网络,org非盈利组织
(2)查询方式
- 递归查询:发生在客户端到本地DNS服务器(找到才回答)
- 迭代查询:发生在本地DNS服务器向根、顶级域名服务器请求(有问有答)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WZmPe5MR-1685707617031)(img/1684045227269.png)]
