From b01a85136fe3527d593a36aa651b2fb4f9aeb42a Mon Sep 17 00:00:00 2001
From: DastInDark <2350416+hitenkoku@users.noreply.github.com>
Date: Wed, 10 Aug 2022 02:40:54 +0900
Subject: [PATCH] updated usage options #651

---
 README-Japanese.md | 88 +++++++++++++++++++++++++++-------------------
 README.md          | 88 +++++++++++++++++++++++++++-------------------
 2 files changed, 104 insertions(+), 72 deletions(-)

diff --git a/README-Japanese.md b/README-Japanese.md
index 5ad1a294..0a7f21ba 100644
--- a/README-Japanese.md
+++ b/README-Japanese.md
@@ -327,42 +327,58 @@ USAGE:
     hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS]
 
 OPTIONS:
-        --European-time                                ヨーロッパ形式で日付と時刻を出力する (例: 22-02-2022 22:00:00.123 +02:00)
-        --RFC-2822                                     RFC 2822形式で日付と時刻を出力する (例: Fri, 22 Feb 2022 22:00:00 -0600)
-        --RFC-3339                                     RFC 3339形式で日付と時刻を出力する (例: 2022-02-22 22:00:00.123456-06:00)
-        --US-military-time                             24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する (例: 02-22-2022 22:00:00.123 -06:00)
-        --US-time                                      アメリカ形式で日付と時刻を出力する (例: 02-22-2022 10:00:00.123 PM -06:00)
-    -c, --rules-config <RULE_CONFIG_DIRECTORY>         ルールフォルダのコンフィグディレクトリ (デフォルト: ./rules/config)
-        --contributors                                 コントリビュータの一覧表示
-    -d, --directory <DIRECTORY>                        .evtxファイルを持つディレクトリのパス
-    -D, --deep-scan                                    すべてのイベントIDを対象にしたスキャンを行う
-        --enable-deprecated-rules                      Deprecatedルールを有効にする
-        --end-timeline <END_TIMELINE>                  解析対象とするイベントログの終了時刻 (例: "2022-02-22 23:59:59 +09:00")
-        --exclude-status <EXCLUDE_STATUS>...           読み込み対象外とするルール内でのステータス (ex: experimental) (ex: stable test)
-    -f, --filepath <FILE_PATH>                         1つの.evtxファイルに対して解析を行う
-    -h, --help                                         ヘルプ情報を表示する
-    -l, --live-analysis                                ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する
-    -L, --logon-summary                                成功と失敗したログオン情報の要約を出力する
-        --level-tuning [<LEVEL_TUNING_FILE>]           ルールlevelのチューニング (デフォルト: ./rules/config/level_tuning.txt)
-    -m, --min-level <LEVEL>                            結果出力をするルールの最低レベル (デフォルト: informational)
-    -n, --enable-noisy-rules                           Noisyルールを有効にする
-        --no_color                                     カラー出力を無効にする
-    -o, --output <CSV_TIMELINE>                        タイムラインをCSV形式で保存する (例: results.csv)
-    -p, --pivot-keywords-list                          ピボットキーワードの一覧作成
-    -P, --profile <PROFILE>                            利用する出力プロファイル名を指定する
-    -q, --quiet                                        Quietモード: 起動バナーを表示しない
-    -Q, --quiet-errors                                 Quiet errorsモード: エラーログを保存しない
-    -r, --rules <RULE_DIRECTORY/RULE_FILE>             ルールファイルまたはルールファイルを持つディレクトリ (デフォルト: ./rules)
-    -s, --statistics                                   イベントIDの統計情報を表示する
-        --set-default-profile <SET_DEFAULT_PROFILE>    デフォルトの出力コンフィグを設定する
-        --start-timeline <START_TIMELINE>              解析対象とするイベントログの開始時刻 (例: "2020-02-22 00:00:00 +09:00")
-    -t, --thread-number <NUMBER>                       スレッド数 (デフォルト: パフォーマンスに最適な数値)
-        --target-file-ext <EVTX_FILE_EXT>...           evtx以外の拡張子を解析対象に追加する。 (例１: evtx_data 例２：evtx1 evtx2)
-    -u, --update-rules                                 rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する
-    -U, --UTC                                          UTC形式で日付と時刻を出力する (デフォルト: 現地時間)
-    -v, --verbose                                      詳細な情報を出力する
-    -V, --visualize-timeline                           イベント頻度タイムラインを出力する
-        --version                                      バージョン情報を表示する
+    -h, --help       ヘルプ情報を表示する
+        --version    バージョン情報を表示する
+
+INPUT:
+    -d, --directory <DIRECTORY>    .evtxファイルを持つディレクトリのパス
+    -f, --file <FILE>              1つの.evtxファイルに対して解析を行う
+    -l, --live-analysis            ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する
+
+ADVANCED:
+    -c, --rules-config <DIRECTORY>              ルールフォルダのコンフィグディレクトリ (デフォルト: ./rules/config)
+        --level-tuning [<FILE>]                 ルールlevelのチューニング (デフォルト: ./rules/config/level_tuning.txt)
+    -Q, --quiet-errors                          Quiet errorsモード: エラーログを保存しない
+    -r, --rules <DIRECTORY/FILE>                ルールファイルまたはルールファイルを持つディレクトリ (デフォルト: ./rules)
+    -t, --thread-number <NUMBER>                スレッド数 (デフォルト: パフォーマンスに最適な数値)
+        --target-file-ext <EVTX_FILE_EXT>...    evtx以外の拡張子を解析対象に追加する。 (例１: evtx_data 例２：evtx1 evtx2)
+
+OUTPUT:
+    -o, --output <FILE>    タイムラインをCSV形式で保存する (例: results.csv)
+
+DISPLAY-SETTINGS:
+        --no-color              カラー出力を無効にする
+    -q, --quiet                 Quietモード: 起動バナーを表示しない
+    -v, --verbose               詳細な情報を出力する
+    -V, --visualize-timeline    イベント頻度タイムラインを出力する
+
+FILTERING:
+    -D, --deep-scan                     すべてのイベントIDを対象にしたスキャンを行う
+        --enable-deprecated-rules       Deprecatedルールを有効にする
+        --exclude-status <STATUS>...    読み込み対象外とするルール内でのステータス (ex: experimental) (ex: stable test)
+    -m, --min-level <LEVEL>             結果出力をするルールの最低レベル (デフォルト: informational)
+    -n, --enable-noisy-rules            Noisyルールを有効にする
+        --timeline-end <DATE>           解析対象とするイベントログの終了時刻 (例: "2022-02-22 23:59:59 +09:00")
+        --timeline-start <DATE>         解析対象とするイベントログの開始時刻 (例: "2020-02-22 00:00:00 +09:00")
+
+OTHER-ACTIONS:
+        --contributors           コントリビュータの一覧表示
+    -L, --logon-summary          成功と失敗したログオン情報の要約を出力する
+    -p, --pivot-keywords-list    ピボットキーワードの一覧作成
+    -s, --statistics             イベントIDの統計情報を表示する
+    -u, --update-rules           rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する
+
+TIME-FORMAT:
+        --European-time       ヨーロッパ形式で日付と時刻を出力する (例: 22-02-2022 22:00:00.123 +02:00)
+        --RFC-2822            RFC 2822形式で日付と時刻を出力する (例: Fri, 22 Feb 2022 22:00:00 -0600)
+        --RFC-3339            RFC 3339形式で日付と時刻を出力する (例: 2022-02-22 22:00:00.123456-06:00)
+        --US-military-time    24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する (例: 02-22-2022 22:00:00.123 -06:00)
+        --US-time             アメリカ形式で日付と時刻を出力する (例: 02-22-2022 10:00:00.123 PM -06:00)
+    -U, --UTC                 UTC形式で日付と時刻を出力する (デフォルト: 現地時間)
+
+OUTPUT-SETTINGS:
+    -P, --profile <PROFILE>                利用する出力プロファイル名を指定する
+        --set-default-profile <PROFILE>    デフォルトの出力コンフィグを設定する
 ```
 
 ## 使用例
diff --git a/README.md b/README.md
index 9928086c..a370afe6 100644
--- a/README.md
+++ b/README.md
@@ -323,42 +323,58 @@ USAGE:
     hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS]
 
 OPTIONS:
-        --European-time                                Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
-        --RFC-2822                                     Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
-        --RFC-3339                                     Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
-        --US-military-time                             Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
-        --US-time                                      Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-    -c, --rules-config <RULE_CONFIG_DIRECTORY>         Specify custom rule config folder (default: ./rules/config)
-        --contributors                                 Print the list of contributors
-    -d, --directory <DIRECTORY>                        Directory of multiple .evtx files
-    -D, --deep-scan                                    Disable event ID filter to scan all events
-        --enable-deprecated-rules                      Enable rules marked as deprecated
-        --end-timeline <END_TIMELINE>                  End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
-        --exclude-status <EXCLUDE_STATUS>...           Ignore rules according to status (ex: experimental) (ex: stable test)
-    -f, --filepath <FILE_PATH>                         File path to one .evtx file
-    -h, --help                                         Print help information
-    -l, --live-analysis                                Analyze the local C:\Windows\System32\winevt\Logs folder
-    -L, --logon-summary                                Print a summary of successful and failed logons
-        --level-tuning [<LEVEL_TUNING_FILE>]           Tune alert levels (default: ./rules/config/level_tuning.txt)
-    -m, --min-level <LEVEL>                            Minimum level for rules (default: informational)
-    -n, --enable-noisy-rules                           Enable rules marked as noisy
-        --no-color                                     Disable color output
-    -o, --output <CSV_TIMELINE>                        Save the timeline in CSV format (ex: results.csv)
-    -p, --pivot-keywords-list                          Create a list of pivot keywords
-    -P, --profile <PROFILE>                            Specify output profile
-    -q, --quiet                                        Quiet mode: do not display the launch banner
-    -Q, --quiet-errors                                 Quiet errors mode: do not save error logs
-    -r, --rules <RULE_DIRECTORY/RULE_FILE>             Specify a rule directory or file (default: ./rules)
-    -s, --statistics                                   Print statistics of event IDs
-        --set-default-profile <SET_DEFAULT_PROFILE>    Set default output profile
-        --start-timeline <START_TIMELINE>              Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
-    -t, --thread-number <NUMBER>                       Thread number (default: optimal number for performance)
-        --target-file-ext <EVTX_FILE_EXT>...           Specify additional target file extensions (ex: evtx_data) (ex: evtx1 evtx2)
-    -u, --update-rules                                 Update to the latest rules in the hayabusa-rules github repository
-    -U, --UTC                                          Output time in UTC format (default: local time)
-    -v, --verbose                                      Output verbose information
-    -V, --visualize-timeline                           Output event frequency timeline
-        --version                                      Print version information
+    -h, --help       Print help information
+        --version    Print version information
+
+INPUT:
+    -d, --directory <DIRECTORY>    Directory of multiple .evtx files
+    -f, --file <FILE>              File path to one .evtx file
+    -l, --live-analysis            Analyze the local C:\Windows\System32\winevt\Logs folder
+
+ADVANCED:
+    -c, --rules-config <DIRECTORY>              Specify custom rule config directory (default: ./rules/config)
+        --level-tuning [<FILE>]                 Tune alert levels (default: ./rules/config/level_tuning.txt)
+    -Q, --quiet-errors                          Quiet errors mode: do not save error logs
+    -r, --rules <DIRECTORY/FILE>                Specify a custom rule directory or file (default: ./rules)
+    -t, --thread-number <NUMBER>                Thread number (default: optimal number for performance)
+        --target-file-ext <EVTX_FILE_EXT>...    Specify additional target file extensions (ex: evtx_data) (ex: evtx1 evtx2)
+
+OUTPUT:
+    -o, --output <FILE>    Save the timeline in CSV format (ex: results.csv)
+
+DISPLAY-SETTINGS:
+        --no-color              Disable color output
+    -q, --quiet                 Quiet mode: do not display the launch banner
+    -v, --verbose               Output verbose information
+    -V, --visualize-timeline    Output event frequency timeline
+
+FILTERING:
+    -D, --deep-scan                     Disable event ID filter to scan all events
+        --enable-deprecated-rules       Enable rules marked as deprecated
+        --exclude-status <STATUS>...    Ignore rules according to status (ex: experimental) (ex: stable test)
+    -m, --min-level <LEVEL>             Minimum level for rules (default: informational)
+    -n, --enable-noisy-rules            Enable rules marked as noisy
+        --timeline-end <DATE>           End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
+        --timeline-start <DATE>         Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
+
+OTHER-ACTIONS:
+        --contributors           Print the list of contributors
+    -L, --logon-summary          Print a summary of successful and failed logons
+    -p, --pivot-keywords-list    Create a list of pivot keywords
+    -s, --statistics             Print statistics of event IDs
+    -u, --update-rules           Update to the latest rules in the hayabusa-rules github repository
+
+TIME-FORMAT:
+        --European-time       Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
+        --RFC-2822            Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
+        --RFC-3339            Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
+        --US-military-time    Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
+        --US-time             Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
+    -U, --UTC                 Output time in UTC format (default: local time)
+
+OUTPUT-SETTINGS:
+    -P, --profile <PROFILE>                Specify output profile
+        --set-default-profile <PROFILE>    Set default output profile
 ```
 
 ## Usage Examples