分析中心常见的协议字段以及语法

布尔运算符

 基本语法

 图中以及描述得很详细了。

日志检索高级查询语法

通配符查询：在一项内的单个字符用？去查，多个字符用*去查询，例如想查mysql和mssql就可以使用db_type:m?sql 去查询，而要查sql结尾就用 *sql  去查询，

范围查询：运用到方括号和to，例如查询192.168.0.0到192.168.255.255之间的所以ip就可以用

["192.168.0.0"]to["192.168.255.255"]   这个语句来查询，

例如下用这个+，需要写为/+，才能匹配到这个+。

 #威胁高级检索字段

is-web0attack，用于判断是web报警还是外联报警，就是它是命中ioc的还是命中规则的。

#网络协议的字段

 网络五元组：源IP地址，源端口，目的IP地址，目的端口和传输层协议

时间戳，是在入库的时间，就是日志采集器生成的时间。

#tcp协议和udp协议

三次握手，四次挥手 

 必须是三次握手完整的皮卡包才能还原流量。

#udp

#tcp&udp协议字段

 比如想检索上下前一百字节，就用下面那两个字段去检索。

tcp不是全包，只有上下行的部分详细，如果数据包特步大就检索不到了。

##http协议

 

重点，get，post，put，delete也有但比较少

#http协议字段 在分析中心进行检索的时候，用到这些字段

#http状态码

 #http-xff头部

#http-referer ##dns

#dns-域名

#dns-递归查询 

我们请求域名的时候先通过本地域名查询，没有之后再去根域名查询，没有之后再去顶级域名查询，没有之后再去权限域名查询服务，有的话就返回。 

 #dns-递代查询

 请求域名先去本地域名服务器查询，没有之后再去根域名，根域名没有就返回个结果，再去顶级域名查询，没有返回一个结果一个一个去查询。

通常，主机服务器都是向本地服务器查询，一般都采用递归。 向根域名查询一般都是递代查询，通过dns服务器拿到对方服务器ip地址才能建立会话。

#dns-字段

 ##ssl协议

#ssl-字段

 ##文件传输协议字段

 ##登陆协议字段

 ##邮件查询字段

假如有一个钓鱼文件，让你升级系统，可以用附件名称去检索。

在别的设备上发现了恶意md5指，就可以去天眼上检索一下看看从哪里进来的

在邮件正文里面的内容也可检索 

##数据库查询字段