Zeek-Parser-OmronFINS
English is here
概è¦
Zeek-Parser-OmronFINSã¨ã¯Omron FINS/UDPを解æžã§ãã‚‹Zeekプラグインã§ã™ã€‚
インストール
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«
ã“ã®ãƒ—ラグインã¯Zeek Package Manger用ã®ãƒ‘ッケージã¨ã—ã¦æä¾›ã•ã‚Œã¦ã„ã¾ã™ã€‚
以下ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã™ã‚‹ã“ã¨ã§ã€æœ¬ãƒ—ラグインã¯åˆ©ç”¨å¯èƒ½ã«ãªã‚Šã¾ã™ã€‚
zkg refresh
zkg install zeek-parser-OmronFINS
マニュアルインストール
本プラグインを利用ã™ã‚‹å‰ã«ã€Zeek, SpicyãŒã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã•ã‚Œã¦ã„ã‚‹ã“ã¨ã‚’確èªã—ã¾ã™ã€‚
# Zeekã®ãƒã‚§ãƒƒã‚¯
~$ zeek -version
zeek version 7.0.0
# Spicyã®ãƒã‚§ãƒƒã‚¯
~$ spicyz -version
7.0.0
~$ spicyc -version
spicyc v1.11.0 (7ddf6ce4)
# 本マニュアルã§ã¯Zeekã®ãƒ‘スãŒä»¥ä¸‹ã§ã‚ã‚‹ã“ã¨ã‚’å‰æã¨ã—ã¦ã„ã¾ã™ã€‚
~$ which zeek
/usr/local/zeek/bin/zeek
本リãƒã‚¸ãƒˆãƒªã‚’ãƒãƒ¼ã‚«ãƒ«ç’°å¢ƒã« git clone ã—ã¾ã™ã€‚
~$ git clone https://github.com/nttcom-ic/zeek-parser-OmronFINS.git
使ã„æ–¹
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã®å ´åˆ
以下ã®ã‚ˆã†ã«æœ¬ãƒ—ラグインを使ã†ã“ã¨ã§ omron_fins.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-OmronFINS/testing/Traces/test.pcap zeek-parser-OmronFINS
マニュアルインストールã®å ´åˆ
ソースコードをコンパイルã—ã¦ã€ã‚ªãƒ–ジェクトファイルを以下ã®ãƒ‘スã«ã‚³ãƒ”ーã—ã¾ã™ã€‚
~$ cd ~/zeek-parser-OmronFINS/analyzer
~$ spicyz -o omron_fins.hlto omron_fins.spicy omron_fins.evt
# omron_fins.hltoãŒç”Ÿæˆã•ã‚Œã¾ã™
~$ cp omron_fins.hlto /usr/local/zeek/lib/zeek/spicy/
åŒæ§˜ã«Zeekファイルを以下ã®ãƒ‘スã«ã‚³ãƒ”ーã—ã¾ã™ã€‚
~$ cd ~/zeek-parser-OmronFINS/scripts/
~$ cp main.zeek /usr/local/zeek/share/zeek/site/omron_fins.zeek
~$ cp consts.zeek /usr/local/zeek/share/zeek/site/
最後ã«Zeekプラグインをインãƒãƒ¼ãƒˆã—ã¾ã™ã€‚
~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...çœç•¥...
@load omron_fins
本プラグインを使ã†ã“ã¨ã§ omron_fins.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
~$ cd ~/zeek-parser-OmronFINS/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/omron_fins.zeek
ãƒã‚°ã®ã‚¿ã‚¤ãƒ—ã¨èª¬æ˜Ž
本プラグインを使ã†ã“ã¨ã§omron_fins.logã¨ã—ã¦å‡ºåŠ›ã—ã¾ã™ã€‚
| フィールド | タイプ | 説明 |
|---|---|---|
| ts | time | 最åˆã«é€šä¿¡ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
| uid | string | ユニークID |
| id.orig_h | addr | é€ä¿¡å…ƒIPアドレス |
| id.orig_p | port | é€ä¿¡å…ƒãƒãƒ¼ãƒˆç•ªå· |
| id.resp_h | addr | 宛先IPアドレス |
| id.resp_p | port | 宛先ãƒãƒ¼ãƒˆç•ªå· |
| proto | enum | トランスãƒãƒ¼ãƒˆå±¤ãƒ—ãƒãƒˆã‚³ãƒ« |
| data_type | string | コマンドã¨ãƒ¬ã‚¹ãƒãƒ³ã‚¹ãŒå®šç¾©ã•ã‚Œã¦ã„ã‚‹ |
| destination_network_address | string | 相手先ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã‚¢ãƒ‰ãƒ¬ã‚¹ |
| destination_node_number | string | 相手先ノードアドレス |
| destination_unit_address | string | 相手先å·æ©Ÿã‚¢ãƒ‰ãƒ¬ã‚¹ |
| source_network_address | string | 発信元ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã‚¢ãƒ‰ãƒ¬ã‚¹ |
| source_node_number | string | 発信元ノードアドレス |
| source_unit_address | string | 発信元å·æ©Ÿã‚¢ãƒ‰ãƒ¬ã‚¹ |
| command_type | string | コマンドã®ã‚¿ã‚¤ãƒ— |
| number | int | パケット出ç¾å›žæ•° |
| ts_end | time | 最後ã«é€šä¿¡ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
omron_fins.log ã®ä¾‹ã¯ä»¥ä¸‹ã®ã¨ãŠã‚Šã§ã™ã€‚
#separator \x09
#set_separator ,
#empty_field (empty)
#unset_field -
#path omron_fins
#open 2025-03-28-16-30-42
#fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto data_type destination_network_address destination_node_number destination_unit_address source_network_address source_node_number source_unit_address command_type number ts_end
#types time string addr port addr port string string string string string string string string string int time
1736159106.716243 CMR1Cj2J87pBDJu7Va 2.2.2.2 55007 1.1.1.1 9600 udp command 0x00 0x64 CPU Unit 0x00 0x01 CPU Unit multiple_memory_area_read 10 1736159106.717982
1736159106.716463 CMR1Cj2J87pBDJu7Va 2.2.2.2 55007 1.1.1.1 9600 udp response 0x00 0x01 CPU Unit 0x00 0x64 CPU Unit multiple_memory_area_read 10 1736159106.718071
#close 2025-03-28-16-30-42
関連ソフトウェア
本プラグインã¯OsecTã§åˆ©ç”¨ã•ã‚Œã¦ã„ã¾ã™ã€‚