すごいログ分析ツール（TWSLA）の改善計画

今朝は４時に自力で起きました。助手の猫さんも一緒に起きましたが、眠そうにしていました。ご飯をあげて、少し遊んであげたら、また寝てしまいました。

SIGMAの実験も成功したのでTWSLAに組み込むことにしました。TWSLAのソースコードをみていたら他にも改善したいことができてきたので整理しました。

TWSLAの改善計画

グラフの改善

sキーで保存してq キーで終了してからopenコマンドで開くのは面倒なので、pキーでPNG版を表示、ｈキーでHTML版を表示できるように改善しようと思います。

GROK抽出

GROKで抽出する機能をつけようと思います。TWSNMPシリーズでは、

のパッケージを使っていましたが、

を発見しました。elasticが関連しているようです。ドキュメントもわかりやすいので、TWSLAで試してみようと思います。

SIGMAフィルター

search,count,timeなどのコマンドでSIGMAルールによるフィルターを追加しようと思います。

-sigma ルールファイル名  -fmap　フィールドマップ　-e 抽出方法

のようなパラメータにしようと思います。これまでのフィルター条件の後に、SIGAMルールにマッチするか検査する方法にしたいと思います。

SIGMAコマンド

一つのルールだけでなく大量のルールに対応して脅威を検知するコマンドを作ろうと思っています。
Go言語の並列処理で、高速化しようと思っています。寝ながら考えたアイデアをメモしておきます。

どれだけ高速化できるか楽しみですが、楽しみは後からにしてグラフの改善から順番にやろうと思います。

明日に続く