Merge pull request #733 from Yamato-Security/729-duplicate-sec-4688-events-outputted-with-targetreleasehayabusa-m-d-hayabusa-sample-evtx

Fixed duplicate event outputted with metric option due to sum up of event IDs key name.

CHANGELOG-Japanese.md

@@ -5,10 +5,11 @@
 **改善:**
 
 - 検知ルールを利用しないオプション(`-M`と`-L`オプション)の時のメッセージの出力内容を修正した。 (#730) (@hitenkoku)
+- より正確な結果を出力するために、チャンネルとEIDの情報を`rules/config/channel_eid_info.txt`に基づいてチェックするようにした。 (#463) (@garigariganzy)
 
 **バグ修正:**
 
-- より正確な結果を出力するために、チャンネルとEIDの情報を`rules/config/channel_eid_info.txt`に基づいてチェックするようにした。 (#463) (@garigariganzy)
+- mericオプションのEventIDのキー名の数え上げが原因となっていたイベント集計の誤りを修正した。 (#729) (@hitenkoku)
 
 ## 1.7.0 [2022/09/29]
 

CHANGELOG.md

@@ -5,10 +5,11 @@
 **Enhancements:**
 
 - Do not display a message about loading detection rules when using the `-M` or `-L` options. (#730) (@hitenkoku)
+- Hayabusa now checks Channel and EID information based on `rules/config/channel_eid_info.txt` to provide more accurate results. (#463) (@garigariganzy)
 
 **Bug Fixes:**
 
-- Hayabusa now checks Channel and EID information based on `rules/config/channel_eid_info.txt` to provide more accurate results. (#463) (@garigariganzy)
+- Fixed duplicate event outputted with metric option due to sum up of event IDs key name. (#729) (@hitenkoku)
 
 ## 1.7.0 [2022/09/29]
 

src/timeline/metrics.rs

@@ -96,7 +96,7 @@ impl EventMetrics {
             if let Some(idnum) = utils::get_event_value("EventID", &record.record) {
                 let count: &mut usize = self
                     .stats_list
-                    .entry((idnum.to_string(), channel))
+                    .entry((idnum.to_string().replace('\"', ""), channel))
                     .or_insert(0);
                 *count += 1;
             };