TWLogEye開発19日目：昨日整理したSigma ルールの処理を作っています

今朝は５時過ぎまで寝てました。助手の猫さんが夜中に起こしきましたが、早すぎるので説得して、かみさんの布団で寝てもらいました。さっきまで、かみさんと寝ていたようです。

昨日整理した

の変更をやっています。
簡単なところは、ほとんどできたのですが、linuxやMac OSでプロセスを起動したログからCommand LineとImage(実行したファイル）を取り出す方法について悩んでいます。 Windowsのログは、ログの項目に名前がついていてわかりやすいのですが、LinuxやMacOSのsyslogから取り出すことができるのか、よい例が見つかりません。
プロセスの起動はauditdというソフト

Linux auditdによる監査ログ設定（CentOS 7） | iret.media

を使えばできそうですが、このログからCommand LineとImageを取り出すのは、たいへんそうです。これは、後回しにしようと思います。

階層化されたディレクトリからルールの読み込みできるようにして、

の全ルールを読み込ませてみました。エラーなるルールを調べてみようと思います。

明日に続く