Advertisement
D0cEvil

Logstash - Win Snort log parcer PoC

Sep 23rd, 2022
132
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
JavaScript 1.99 KB | Cybersecurity | 0 0
  1. input {
  2.   beats {
  3.         port => 5044
  4.         ssl => false
  5.   }
  6. }
  7. filter {
  8.         if "alert TCP" in [message] {
  9.                 grok {
  10.                         match => {
  11.                                 "message" => "%{GREEDYDATA:timestamp}   ?\[?\*?\*?\] ?\[%{INT}:%{INT}:%{INT}?\] %{GREEDYDATA:signature}  ?\[?\*?\*?\] ?\[%{WORD}: %{INT:priority}?\] ?\{%{WORD:protocol}?\} %{IP:ip.source}:%{INT:port.source} -> %{IP:ip.dst}:%{INT:port.dst}"
  12.                         }
  13.                 }
  14.                 if "_grokparsefailure" in [tags] {
  15.                         drop {}
  16.                 }
  17.         }
  18.         else if "alert ICMP" in [message] {
  19.                 grok {
  20.                         match => {
  21.                                 "message" => "%{GREEDYDATA:timestamp}   ?\[?\*?\*?\] ?\[%{INT}:%{INT}:%{INT}?\] %{GREEDYDATA:signature}  ?\[?\*?\*?\] ?\[%{WORD}: %{INT:priority}?\] ?\{%{WORD:protocol}?\} %{IP:ip.source} -> %{IP:ip.dst}"
  22.                         }
  23.                 }
  24.                 if "_grokparsefailure" in [tags] {
  25.                         drop {}
  26.                 }
  27.         }
  28.         else {
  29.                  grok {
  30.                         match => {
  31.                                 "message" => "%{GREEDYDATA:timestamp}   ?\[?\*?\*?\] ?\[%{INT}:%{INT}:%{INT}?\] %{GREEDYDATA:signature}  ?\[?\*?\*?\] ?\[%{WORD}: %{GREEDYDATA:classification}?\] ?\[%{WORD}: %{INT:priority}?\] ?\{%{WORD:protocol}?\} %{IP:ip.source}:%{INT:port.source} -> %{IP:ip.dst}:%{INT:port.dst}"
  32.                         }
  33.                 }
  34.                 if "_grokparsefailure" in [tags] {
  35.                         drop {}
  36.                 }
  37.         }
  38. #    date {
  39. #        match => ["timestamp", "MM/dd-HH:mm:ss.SSSSSS"]
  40. #        timezone => "America/Toronto"
  41. #        target => ["@timestamp"]
  42. #    }
  43.         geoip {
  44.                 source => "ip.source"
  45.         }
  46.         geoip {
  47.                 source => "ip.dst"
  48.         }
  49. }
  50. output {
  51.     elasticsearch {
  52.         hosts => ['127.0.0.1:9200']
  53.     }
  54. }
  55.  
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement