From ac246522d4c74efa9b0d13cea8a4b9913d7965f3 Mon Sep 17 00:00:00 2001 From: DustInDark Date: Fri, 17 Jun 2022 19:04:55 +0900 Subject: [PATCH] updated usage in readme --- README-Japanese.md | 137 ++++++++++--------------------------- README.md | 138 ++++++++++---------------------------- src/detections/configs.rs | 8 +-- 3 files changed, 74 insertions(+), 209 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 562662dd..8216e6c8 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -323,110 +323,43 @@ macOSの環境設定から「セキュリティとプライバシー」を開き ```bash USAGE: - hayabusa.exe [OPTIONS] + hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS] OPTIONS: - --European-time - ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00) - - --US-military-time - 24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00) - - --US-time - アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00) - - --all-tags - 出力したCSVファイルにルール内のタグ情報を全て出力する。 - - -C, --config [RULE_CONFIG_DIRECTORY] - ルールフォルダのコンフィグディレクトリ(デフォルト: .\rules\config) - - --contributors - コントリビュータの一覧表示。 - - -d, --directory [DIRECTORY] - .evtxファイルを持つディレクトリのパス。 - - -D, --enable-deprecated-rules - Deprecatedルールを有効にする。 - - --end-timeline - 解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00") - - -f, --filepath [FILE_PATH] - 1つの.evtxファイルのパス。 - - -F, --full-data - 全てのフィールド情報を出力する。 - - -h, --help - ヘルプ情報を表示する。 - - -l, --live-analysis - ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。) - - -L, --logon-summary - 成功と失敗したログオン情報の要約を出力する。 - - --level-tuning - ルールlevelのチューニング (デフォルト: .\rules\config\level_tuning.txt) - - -m, --min-level - 結果出力をするルールの最低レベル。(デフォルト: informational) - - -n, --enable-noisy-rules - Noisyルールを有効にする。 - - --no_color - カラー出力を無効にする。 - - -o, --output [CSV_TIMELINE] - タイムラインをCSV形式で保存する。(例: results.csv) - - -p, --pivot-keywords-list - ピボットキーワードの一覧作成。 - - -q, --quiet - Quietモード。起動バナーを表示しない。 - - -Q, --quiet-errors - Quiet errorsモード。エラーログを保存しない。 - - -r, --rules [RULE_DIRECTORY/RULE_FILE] - ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules) - - -R, --hide-record-id - イベントレコードIDを表示しない。 - - --rfc-2822 - RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600) - - --rfc-3339 - RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00) - - -s, --statistics - イベントIDの統計情報を表示する。 - - --start-timeline - 解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00") - - -t, --thread-number - スレッド数。(デフォルト: パフォーマンスに最適な数値) - - -u, --update-rules - rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。 - - -U, --utc - UTC形式で日付と時刻を出力する。(デフォルト: 現地時間) - - -v, --verbose - 詳細な情報を出力する。 - - -V, --visualize-timeline - イベント頻度タイムラインを出力する。 - - --version - バージョン情報を表示する。 + --European-time ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00) + --US-military-time 24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00) + --US-time アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00) + --all-tags 出力したCSVファイルにルール内のタグ情報を全て出力する。 + -c, --config ルールフォルダのコンフィグディレクトリ (デフォルト: .\rules\config) + --contributors コントリビュータの一覧表示。 + -d, --directory .evtxファイルを持つディレクトリのパス。 + -D, --enable-deprecated-rules Deprecatedルールを有効にする。 + --end-timeline 解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00") + -f, --filepath 1つの.evtxファイルに対して解析を行う + -F, --full-data 全てのフィールド情報を出力する。 + -h, --help ヘルプ情報を表示する。 + -l, --live-analysis ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。) + -L, --logon-summary 成功と失敗したログオン情報の要約を出力する。 + --level-tuning ルールlevelのチューニング。 (デフォルト: .\rules\config\level_tuning.txt) + -m, --min-level 結果出力をするルールの最低レベル。(デフォルト: informational) + -n, --enable-noisy-rules Noisyルールを有効にする。 + --no_color カラー出力を無効にする。 + -o, --output タイムラインをCSV形式で保存する。(例: results.csv) + -p, --pivot-keywords-list ピボットキーワードの一覧作成。 + -q, --quiet Quietモード。起動バナーを表示しない。 + -Q, --quiet-errors Quiet errorsモード。エラーログを保存しない。 + -r, --rules ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules) + -R, --hide-record-id イベントレコードIDを表示しない。 + --rfc-2822 RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600) + --rfc-3339 RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00) + -s, --statistics イベントIDの統計情報を表示する。 + --start-timeline 解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00") + -t, --thread-number スレッド数。(デフォルト: パフォーマンスに最適な数値) + -u, --update-rules rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。 + -U, --UTC UTC形式で日付と時刻を出力する。(デフォルト: 現地時間) + -v, --verbose 詳細な情報を出力する。 + -V, --visualize-timeline イベント頻度タイムラインを出力する。 + --version バージョン情報を表示する。 ``` ## 使用例 diff --git a/README.md b/README.md index 22c74b4c..77cfc84b 100644 --- a/README.md +++ b/README.md @@ -321,111 +321,43 @@ You should now be able to run hayabusa. ```bash USAGE: - hayabusa.exe [OPTIONS] + hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS] OPTIONS: - --European-time - Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00) - - --US-military-time - Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00) - - --US-time - Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00) - - --all-tags - Output all tags when saving to a CSV file - - -C, --config - Rule config folder [default: ./rules/config] - - --contributors - Prints the list of contributors - - -d, --directory - Directory of multiple .evtx files - - -D, --enable-deprecated-rules - Enable rules marked as deprecated - - --end-timeline - End time of the event logs to load. (Ex: \"2022-02-22 23:59:59 +09:00\") - - -f, --filepath - File path to one .evtx file - - -F, --full-data - Print all field information - - -h, --help - Print help information - - -l, --live-analysis - Analyze the local C:\\Windows\\System32\\winevt\\Logs folder (Windows Only. - Administrator privileges required.) - - -L, --logon-summary - Successful and failed logons summary - - --level-tuning - Tune alert levels [default: ./rules/config/level_tuning.txt] - - -m, --min-level - Minimum level for rules [default: informational] - - -n, --enable-noisy-rules - Enable rules marked as noisy - - --no_color - Disable color output - - -o, --output - Save the timeline in CSV format. (Ex: results.csv) - - -p, --pivot-keywords-list - Create a list of pivot keywords - - -q, --quiet - Quiet mode. Do not display the launch banner - - -Q, --quiet-errors - Quiet errors mode. Do not save error logs - - -r, --rules - Rule directory or file [default: ./rules] - - -R, --hide-record-id - Do not display EventRecordID number - - --rfc-2822 - Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600) - - --rfc-3339 - Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00) - - -s, --statistics - Prints statistics of event IDs - - --start-timeline - Start time of the event logs to load. (Ex: \"2020-02-22 00:00:00 +09:00\") - - -t, --thread-number - Thread number. [default: Optimal number for performance.] - - -u, --update-rules - Update to the latest rules in the hayabusa-rules github repository - - -U, --utc - Output time in UTC format. [default: local time] - - -v, --verbose - Output verbose information - - -V, --visualize-timeline - Output event frequency timeline - - --version - Print version information + --European-time Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00) + --US-military-time Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00) + --US-time Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00) + --all-tags Output all tags when saving to a CSV file + -c, --config Rule config folder. (Default: .\rules\config) + --contributors Prints the list of contributors + -d, --directory Directory of multiple .evtx files + -D, --enable-deprecated-rules Enable rules marked as deprecated + --end-timeline End time of the event logs to load. (Ex: "2022-02-22 23:59:59 +09:00") + -f, --filepath File path to one .evtx file + -F, --full-data Print all field information + -h, --help Print help information + -l, --live-analysis Analyze the local C:\\Windows\\System32\\winevt\\Logs folder. (Windows Only. Administrator privileges required.) + -L, --logon-summary Successful and failed logons summary + --level-tuning Tune alert levels. (Default: .\rules\config\level_tuning.txt) + -m, --min-level Minimum level for rules. (Default: informational) + -n, --enable-noisy-rules Enable rules marked as noisy + --no_color Disable color output + -o, --output Save the timeline in CSV format. (Ex: results.csv) + -p, --pivot-keywords-list Create a list of pivot keywords + -q, --quiet Quiet mode. Do not display the launch banner + -Q, --quiet-errors Quiet errors mode. Do not save error logs + -r, --rules Specify rule directory or file. (Default: .\rules) + -R, --hide-record-id Do not display EventRecordID numbers + --rfc-2822 Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600) + --rfc-3339 Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00) + -s, --statistics Prints statistics of event IDs + --start-timeline Start time of the event logs to load. (Ex: "2020-02-22 00:00:00 +09:00") + -t, --thread-number Thread number. (Default: Optimal number for performance.) + -u, --update-rules Update to the latest rules in the hayabusa-rules github repository + -U, --UTC Output time in UTC format. (Default: local time) + -v, --verbose Output verbose information + -V, --visualize-timeline Output event frequency timeline + --version Print version information ``` ## Usage Examples diff --git a/src/detections/configs.rs b/src/detections/configs.rs index 40301f8e..b3120ed9 100644 --- a/src/detections/configs.rs +++ b/src/detections/configs.rs @@ -77,7 +77,7 @@ pub struct Config { )] pub rules: PathBuf, - /// Rule config folder. [Default: .\rules\config] + /// Rule config folder. (Default: .\rules\config) #[clap( short = 'c', long, @@ -129,7 +129,7 @@ pub struct Config { )] pub min_level: String, - /// Analyze the local C:\\Windows\\System32\\winevt\\Logs folder (Windows Only. Administrator privileges required.) + /// Analyze the local C:\\Windows\\System32\\winevt\\Logs folder. (Windows Only. Administrator privileges required.) #[clap(short = 'l', long = "live-analysis")] pub live_analysis: bool, @@ -161,7 +161,7 @@ pub struct Config { #[clap(long = "European-time")] pub european_time: bool, - /// Output time in UTC format. [Default: local time] + /// Output time in UTC format. (Default: local time) #[clap(short = 'U', long = "UTC")] pub utc: bool, @@ -169,7 +169,7 @@ pub struct Config { #[clap(long = "no_color")] pub no_color: bool, - /// Thread number. [Default: Optimal number for performance.] + /// Thread number. (Default: Optimal number for performance.) #[clap(short, long = "thread-number", value_name = "NUMBER")] pub thread_number: Option,