|
<54>三月 29 18:32:12 SymantecServer sepserver:DellXP708-33,检测到 [SID: 21590] P2P Edonkey PingMessage。 已允许来自此应用程序的通信: C:\ProgramFiles\Tencent\QQDownload2\QQDownload.exe,本地: 0.0.0.0,本地: 000000000000,远程: ,远程:129.47.150.11,远程: 000000000000,2,其开奖直播,Intrusion ID: 0,开始: 2009-03-29 17:35:17,结束: 2009-03-2917:35:17,出现次数: 1,应用程序: C:/Program Files/Tencent/QQDownload2/QQDownload.exe,位置: 默认值,用户: Administrator,域: WORKGROUP ^.*$ This is a testmessage (2)第二步进入每个详细类型设备支持的正则。 Mapping/DeviceSupplier/DeviceProductName/DeviceVersion/FieldMapping.xml
这里本港台直播就介绍一个最复杂的Symantec Endpoint Protection正则匹配,首先先解释一下xml文件。 <itempid="2" name="CISCO" p="" 设备类型<="" 数据库字段:devicegroup=""> subname="trans" // 数据库字段:DealDeviceGroup 日志类型 例如:流量日志 regexmatch="1\w*"// 正则校验式 regexsplit="^1(\d)(\d)(\d)(\w*)"// 正则表达式 table="event"// 存储事件表 不允许改 field="name,id,time"// 解析字段 需要编辑的内容:name,id,time /> 详细可以解析的日志类型 ^<\d+>.*SymantecServer \S+: 站点: .*?,服务器: .*,域: .*,管理员: .*,管理员登录成功.*$ ^<\d+>.*?SymantecServer \S+: 站点: (.*?),服务器: (.*),域: (.*),管理员: (.*),(管理员登录成功).*$ CS1,DestinationName,DestinationDomainName,DestinationUserName,EventName ^<\d+>.*?SymantecServer \S+: 站点: .*?,服务器: .*,域: .*,管理员: .*,注销管理员.*$ ^<\d+>.*?SymantecServer \S+: 站点: (.*?),服务器: (.*),域: (.*),管理员: (.*),(注销管理员).*$ CS1,DestinationName,DestinationDomainName,DestinationUserName,EventName (责任编辑:本港台直播) |
