轉(zhuǎn)載請(qǐng)注明來源：https://1990day.com/skills/brim_note.html

image

一、簡(jiǎn)介

Brim是一款由美國(guó)供應(yīng)商Brim Security開發(fā)并開源的流量分析工具，可以輕松處理非常大的數(shù)據(jù)包捕獲（pcap）文件。

Brim由多個(gè)開源組件構(gòu)建而成，包括：結(jié)構(gòu)化日志查詢引擎zq；用于多平臺(tái)用戶界面的Electron和React；以及從數(shù)據(jù)包捕獲文件生成網(wǎng)絡(luò)分析數(shù)據(jù)的Zeek。

二、安裝

該軟件支持 Win / Mac os ，下載安裝即可使用。

官方下載地址：https://www.brimsecurity.com/download/

三、面板

image

四、語法

常用查詢

IP

    目的IP：
id.resp_h=


源IP：
id.orig_h=

協(xié)議

語句：_path

例：
_path="SSL"

_path="http"

關(guān)聯(lián)

語句：and 
例：查詢所有目的ip 192.168.1.30 的http日志 
id.resp_h=192.168.1.30 and http

排除

語句：not
例：流量數(shù)據(jù)日志中出現(xiàn)大量web掃描日志，我要排除404無效的http請(qǐng)求
not status_code=404

裸詞：

需要查詢數(shù)據(jù)中包含 “l(fā)ogin” 或者 “admin” ,又或者只需要看http的請(qǐng)求，那么直接輸入“關(guān)鍵詞”進(jìn)行查詢。

查詢：

 login

結(jié)果呈現(xiàn)如下，日志查詢結(jié)果均包含login：

image

通配符：

要查找關(guān)鍵詞之間或旁邊可能包含任意字符串的值，可以使用一個(gè)或多個(gè)glob-style 的通配符。

例如，搜索查找包含Web服務(wù)器主機(jī)名的事件，這些域名中包含字母cdn，例如www.cdn.amazon.com或 www.herokucdn.com。

查詢：

*163.com

結(jié)果呈現(xiàn)如下，日志查詢結(jié)果均包含163.com的所有子域結(jié)果：

image

比如我要查詢包含163 這個(gè)字符相近的域名呢？

查詢：

www.*163*.com

它可能會(huì)出來很多近似結(jié)果，當(dāng)然這取決于你的數(shù)據(jù)日志中是否包含這些域名：

www.163-services.com
www.163e.com
www.1633.com
www.163apis.com

字段/值 匹配

可以縮小搜索范圍，使其僅包括在特定字段中包含特定值的事件。例如，以下搜索將僅匹配指定字段指定值，該字段uid被設(shè)置為精確值ChhAfsfyuz4n2hFMe。

查詢：  uid=CRqfPB2CsOdqyYSYM7

輸出了精確的查詢結(jié)果：

image

比較/篩選

除了通過=測(cè)試等式之外，還可以使用其他常見的比較操作符 !=、<、>、<=和=>。

例如，下面的搜索查找傳輸了許多字節(jié)的連接

查詢：

 orig_bytes > 1000000

輸出：

image

查詢字節(jié)大于 1000000 的結(jié)果。

比較查詢可以從大量相同特征中查詢不一樣特征的數(shù)據(jù)，便于快速定位分析。

其他更多的搜索語法可以參考 ：

https://github.com/brimsec/zq/