Moloch 搜索栏常用命令
搜索栏
字符串搜索
通配符:
如果表达式中出现*,则假定使用通配符匹配。支持的通配符是*,它匹配任何字符序列(包括空字符),以及?,它匹配任何单个字符。
通配符查询针对全文字符串运行,如果字段启用大小写规范化,则在大小写规范化之后运行。
例如http.uri == "www.f*k.com"将捕获http.uri字符串,它包含www.fork.com或www.frack.com。
正则表达式:
正则表达式查询必须被前斜杠包围,并且始终被锚定。这意味着您几乎总是希望包含一个开头和结尾。
在regex查询中。regex查询在字段的大小写规范化(如果启用)之后针对全文字符串运行。
例如http.uri = = /.* www \ .f.* k \ com.* /。它使用不支持大多数PCRE特性的Lucene regex实现。
列表:
在Moloch中,列表被用作执行多个或查询的快速方法。
例如,协议== [http,ssh]。该查询将搜索包含http或ssh的任何会话。
注意:包含通配符或正则表达式字符串的列表将作为普通字符串处理,而不是通配符和正则表达式。
IP搜索
对于包含端口号的字段,可以使用冒号(ip4)或点(ip6)跟踪任何IP表示,然后使用端口号进一步细化查询。端口也是一级搜索,可以直接搜索。
例如:ip == 1.2.3.4/24:80。该查询将搜索所有包含1.2.3.4/24 CIDR范围内的IP地址的会话,并在会话期间使用端口80。
IP搜索也可以使用IP列表来完成,这些IP可能是混合表示的:ip == [1.2.3.4,1.3/16]。
日期搜索
(1)除了默认的=和not =之外,Date字段还支持简单的范围操作符。例如:starttime == "2004/07/31 05:33:41"。
(2)还使用列表支持简单的或查询。例如:stoptime ==["2004/07/31 05:33:41","2004/07/31 06:33:41"]
字段存在查询
检查一个字段在会话中是否存在或者不存在使用:存在某字段,field==EXISTS!,或者否定存在某字段,field!=EXISTS!。
例如,为了验证一个证书没有签发者常用名但是具有一个签发者组织名称,那么应该使用:cert.issuer.cn != EXISTS! && cert.issuer.on == EXISTS!
找出会话中涉及俄罗斯(RU)或者中国(CN),并且使用端口号80且主机名中包含“COM”的会话:(country == RU || country == CN) && port == 80 && host == *com
找出会话类型为"text/plain",涉及加拿大(CA),包含少于20个数据包的会话: tags == "http:content:text/plain" && country == CA && packets < 20
举例
Simple Moloch filtering expression:
ip.src == 10.0.0.38 && starttime >= "2016/03/03 22:19:03 && port.dst == 17500
Filtering expression using HTTP tags:
protocols == http && http.method == GET && http.statuscode == 200 && stoptime <= "2016/03/04 00:00:00" Simple Moloch filtering expression:
ip.src == 10.0.0.38 && starttime >= "2016/03/03 22:19:03 && port.dst == 17500
Filtering expression using HTTP tags:
protocols == http && http.method == GET && http.statuscode == 200 && stoptime <= "2016/03/04 00:00:00"
Moloch 搜索栏常用命令相关推荐
- Kubectl 常用命令, 开发人员常用k8s命令
Kubectl 常用命令: 什么是常用,我用的,就是常用的
- docker常用命令详解
docker常用命令详解 本文只记录docker命令在大部分情境下的使用,如果想了解每一个选项的细节,请参考官方文档,这里只作为自己以后的备忘记录下来. 根据自己的理解,总的来说分为以下几种: Doc ...
- 客快物流大数据项目(十五):DockeFile常用命令
目录 DockeFile常用命令 一.FROM 二.MAINTAINER 三.RUN
- 客快物流大数据项目(九):Docker常用命令
目录 Docker常用命令 一.帮助命令 二.镜像命令 1.搜索镜像
- linux常用命令(转载)
Linux常用命令大全(非常全!!!) 最近都在和Linux打交道,感觉还不错.我觉得Linux相比windows比较麻烦的就是很多东西都要用命令来控制,当然,这也是很多人喜欢linux的原因,比较短 ...
- maven发布项目到私服-snapshot快照库和release发布库的区别和作用及maven常用命令
maven发布项目到私服-snapshot快照库和release发布库的区别和作用及maven常用命令 在日常的工作中由于各种原因,会出现这样一种情况,某些项目并没有打包至mvnrepository. ...
- linux kvm虚拟化命令,Linux系统下kvm虚拟化(三)日常管理常用命令和配置说明
根据我们之前创建和一些操作可以知道,KVM虚拟机的管理主要是通过virsh命令对环境下kvm虚拟机进行管理,下边这里整理一些常用的配置说明以及如何进行日常管理维护. 1,查看KVM虚拟机配置文件 KV ...
- kubectl常用命令_《蹲坑学kubernetes》之十五:kubectl命令详解
kubectl用于运行Kubernetes集群命令的管理工具.本章节主要讲了kubectl基本语法和使用方法.在以后的实际工作中,使用越来越多,也会越来越熟悉. 1.kubectl语法 kubectl ...
- 计算机网络管理的常用命令,网络管理常用命令图文详解.pdf
网络工程师必备 – 网络管理常用命令图文详解 网络工程师必备 网络管理常用命令 图文详解 V1.0 V1.0 包含 ping.ipconfig.netstat.nbtstat.tracert. pat ...
最新文章
- 太神奇的 SQL 查询经历,group by 慢查询优化!
- 那些把天聊死的神操作。。| 今日最佳
- 蓄电池单格电压多少伏_蓄电池充电规范手册
- 数据库管理系统与数据库系统
- AfxGetMainWnd( )函数
- 【BZOJ4129】Haruna’s Breakfast,树上带修莫队+权值分块求mex
- JS在与lua的交互心得
- 计算机制作乘法表格,excel表格乘法怎么用,excel表格怎么算乘法
- C#-gdi绘图,双缓冲绘图,Paint事件的触发
- 四川省成都市谷歌高清卫星地图下载
- windows便签快捷键_Windows10便签快捷键在哪里设置?
- 无形资产计算机软件包括哪些,什么软件属于无形资产
- linux嵌入式工控机编程,Linux嵌入式工控机的特点
- USB-PPI数据电缆驱动
- 鸡啄米c语言入门,鸡啄米编程课堂-最适合程序员在线学习和参考的教程站
- 安卓玩机搞机技巧综合资源-----闲置手机当摄像头 当监控 上网课必备 多软件评测【十四】
- 请查收!顶会AAAI 2020录用论文之自然语言处理篇
- axure RP文件如何找回_u盘文件丢失怎么办 u盘文件丢失恢复方法【步骤详解】
- 最长递增子序列问题(你真的会了吗)
- 【Python】PyQt5入门