Zeek-Parser-Bacnet
English is here
概è¦
Zeek-Parser-Bacnetã¨ã¯Bacnetを解æžã§ãã‚‹Zeekプラグインã§ã™ã€‚
インストール
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«
ã“ã®ãƒ—ラグインã¯Zeek Package Manger用ã®ãƒ‘ッケージã¨ã—ã¦æä¾›ã•ã‚Œã¦ã„ã¾ã™ã€‚
以下ã®ã‚³ãƒžãƒ³ãƒ‰ã‚’実行ã™ã‚‹ã“ã¨ã§ã€æœ¬ãƒ—ラグインã¯åˆ©ç”¨å¯èƒ½ã«ãªã‚Šã¾ã™ã€‚
zkg refresh
zkg install icsnpp-bacnet
zkg install zeek-parser-Bacnet
マニュアルインストール
本プラグインを利用ã™ã‚‹å‰ã«ã€ZeekãŒã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã•ã‚Œã¦ã„ã‚‹ã“ã¨ã‚’確èªã—ã¾ã™ã€‚
# Zeekã®ãƒã‚§ãƒƒã‚¯
~$ zeek -version
zeek version 5.0.0
# 本マニュアルã§ã¯Zeekã®ãƒ‘スãŒä»¥ä¸‹ã§ã‚ã‚‹ã“ã¨ã‚’å‰æã¨ã—ã¦ã„ã¾ã™ã€‚
~$ which zeek
/usr/local/zeek/bin/zeek
本リãƒã‚¸ãƒˆãƒªã‚’ãƒãƒ¼ã‚«ãƒ«ç’°å¢ƒã« git clone ã—ã¾ã™ã€‚
~$ git clone https://github.com/nttcom/zeek-parser-Bacnet.git
使ã„æ–¹
パッケージマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã®å ´åˆ
以下ã®ã‚ˆã†ã«æœ¬ãƒ—ラグインを使ã†ã“ã¨ã§ bacnet.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
zeek -Cr /usr/local/zeek/var/lib/zkg/clones/package/zeek-parser-Bacnet/testing/Traces/test.pcap zeek-parser-Bacnet
マニュアルインストールã®å ´åˆ
Zeekファイルを以下ã®ãƒ‘スã«ã‚³ãƒ”ーã—ã¾ã™ã€‚
~$ cd ~/zeek-parser-Bacnet/scripts/
~$ cp bacnet_ip.zeek /usr/local/zeek/share/zeek/site/icsnpp-bacnet/main.zeek
~$ cp consts_bacnet_ip.zeek /usr/local/zeek/lib/zeek/plugins/packages/icsnpp-bacnet/scripts/consts.zeek
Zeekプラグインをインãƒãƒ¼ãƒˆã—ã¾ã™ã€‚
~$ tail /usr/local/zeek/share/zeek/site/local.zeek
...çœç•¥...
@load icsnpp-bacnet
本プラグインを使ã†ã“ã¨ã§ bacnet.log ãŒç”Ÿæˆã•ã‚Œã¾ã™ã€‚
~$ cd ~/zeek-parser-Bacnet/testing/Traces
~$ zeek -Cr test.pcap /usr/local/zeek/share/zeek/site/icsnpp-bacnet/main.zeek
ãƒã‚°ã®ã‚¿ã‚¤ãƒ—ã¨èª¬æ˜Ž
本プラグインã¯bacbetã®å…¨ã¦ã®é–¢æ•°ã‚’監視ã—ã¦bacnet.logã¨ã—ã¦å‡ºåŠ›ã—ã¾ã™ã€‚
| フィールド | タイプ | 説明 |
|---|---|---|
| ts | time | 最åˆã«é€šä¿¡ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
| uid | string | ユニークID |
| id.orig_h | addr | é€ä¿¡å…ƒIPアドレス |
| id.orig_p | port | é€ä¿¡å…ƒãƒãƒ¼ãƒˆç•ªå· |
| id.resp_h | addr | 宛先IPアドレス |
| id.resp_p | port | 宛先ãƒãƒ¼ãƒˆç•ªå· |
| proto | enum | トランスãƒãƒ¼ãƒˆå±¤ãƒ—ãƒãƒˆã‚³ãƒ« |
| pdu_service | string | PDUサービスã®åå‰ |
| pdu_type | string | PDUタイプ |
| obj_type | string | オブジェクトタイプ |
| number | int | パケット出ç¾å›žæ•° |
| ts_end | time | 最後ã«é€šä¿¡ã—ãŸæ™‚ã®ã‚¿ã‚¤ãƒ スタンプ |
bacnet.log ã®ä¾‹ã¯ä»¥ä¸‹ã®ã¨ãŠã‚Šã§ã™ã€‚
#separator \x09
#set_separator ,
#empty_field (empty)
#unset_field -
#path bacnet
#open 2023-08-22-02-33-43
#fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto pdu_service pdu_type obj_type number ts_end
#types time string addr port addr port enum string string string int time
83079.679847 Cifz3n4zRoW5N4c3Fg 10.0.20.24 47808 10.0.30.35 47808 udp atomic_write_file ConfirmedRequest file 4 83136.235718
83076.790637 Czf30y4FoJ43aMrB47 10.0.20.22 47808 10.0.30.27 47808 udp who_is UnconfirmedRequest (empty) 8 83138.226848
83076.042712 C6QrIv2oRwgQMqYYc5 10.0.20.23 47808 10.0.30.31 47808 udp who_has UnconfirmedRequest (empty) 12 83147.742865
#close 2023-08-22-02-33-43
関連ソフトウェア
本プラグインã¯OsecTã§åˆ©ç”¨ã•ã‚Œã¦ã„ã¾ã™ã€‚