すごいログ分析ツール(TWSLA)の改善 3日目：sigmaコマンドがいい感じになってきた

浦和レッズ、久しぶりの快勝！
助手の猫さんも仕事を思い出したようで、３時１５分と４時に起こしてくれました。４時から開発開始です。６時過ぎに「休憩」と呼びにきました。
浦和レッズの勝利で気分もよいので開発も快調にすすみました。

sigmaコマンドの基本的な実装でできました。

>twsla sigma -h
Detect threats using SIGMA rules.
        About SIGAMA
        https://sigmahq.io/

Usage:
  twsla sigma [flags]

Flags:
  -h, --help                  help for sigma
  -c, --sigmaConfig string    Sigma Config path
  -x, --sigmaConvert string   Sigma convert
  -g, --sigmaGrok string      Sigma grok pattern definitions
  -s, --sigmaRules string     Sigma rules path

Global Flags:
      --config string      config file (default is $HOME/.twsla.yaml)
  -d, --datastore string   Bblot log db (default "./twsla.db")
  -f, --filter string      Simple filter
  -v, --not string         Invert regexp filter
  -r, --regex string       Regexp filter
  -t, --timeRange string   Time range

>twsla sigma -c windows -s /tmp/rules

実行するとsigmaのルールフォルダーにある全ルールをチェックします。

Go言語でSIGMAのハンズオン(Software Designの記事)をやってみた - Qiita

の記事で書いたハンズオンのログとルールでテストしていますが、

のような感じで検知したログを表示できます。選択してエンターキーを押すと

のように詳しく表示できます。ｈキーでヒートマップを表示できます。

ｃキーでルール毎の集計を表示できます。

この表示でｈキーを押すと円グラフを表示します。

ｇキーで画像版での円グラフを表示します。
CSVかグラフをファイルの保存することもできます。

まだ並列処理による高速化は対応していませんが、そこそこの速度で動作しています。

作るのがかなり楽しくなってきました。

明日に続く