我正在尝试在搜索中创建一个从其他字段中提取的新字段,以便自动为另一个应用程序编写搜索查询。
基本思路:
eval PCAP_Search=(( ipv4_initiator="src_ip" and port_initiator="src_port" and ipv4_responder="dest_ip" and port_responder="dest_port"))
与
src_ipsrc_portdest_ipdest_port我知道我将不得不转义特殊字符和 AND,但一直无法弄清楚如何。该字段的输出理想情况下如下所示:
(ipv4_initiator="172.168.0.1" and port_initiator="1234" and ipv4_responder="8.8.8.8" and port_responder="80")
我尝试使用
\更新 第一个答案不正确,我不是要创建多个新字段,只是一个包含从其他 4 个字段中提取数据的字符串
format|format| makeresults
| eval ipv4_initiator="src_ip", port_initiator="src_port", ipv4_responder="dest_ip", port_responder="dest_port"
| format
| rename search as PCAP_Search
您也可以使用连接运算符手动完成,就像这样(记住,“AND”必须大写)。
| makeresults
| eval ipv4_initiator="src_ip", port_initiator="src_port", ipv4_responder="dest_ip", port_responder="dest_port"
| eval PCAP_Search="(( ipv4_initiator=\"" . ipv4_initiator . "\" AND port_initiator=\"" . port_initiator . "\" AND ipv4_responder=\"" . ipv4_responder . "\" AND port_responder=\"" . port_responder . "\"))"
RichG 确实帮助解决了它,我不知道使用“.FIELD_NAME.”会调用该字段的数据。这是有效的灵魂:
eval PCAP_Search="( ipv4_initiator="".src_ip."" and port_initiator="".src_port."" and ipv4_responder="".dest_ip."" and port_responder="".dest_port."")"