Merge pull request #645 from Yamato-Security/640-bug-miscalculation-of-data-reduction-in-rare-cases

Fixed miscalculation of data reduction in rare cases
2022-08-06 13:57:46 +09:00
parent 46d236be46 a03a723bf8
commit e401a0e7e1
3 changed files with 5 additions and 3 deletions
--- a/CHANGELOG-Japanese.md
+++ b/CHANGELOG-Japanese.md
@@ -12,7 +12,7 @@

 **バグ修正:**

- VC再頒布パッケージがインストールされていない環境でエラーが発生している状態を修正した。 (#635) (@fukusuket)
+- aggregation conditionのルール検知が原因で検知しなかったイベント数の集計に誤りがあったので修正した。 (#640) (@hitenkoku)

 ## v1.4.3 [2022/08/03]

--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@@ -12,7 +12,7 @@

 **Bug Fixes:**

- XXX
+- Fixed miscalculation of Data Reduction due to aggregation condition rule detection. (#640) (@hitenkoku)

 ## v1.4.3 [2022/08/03]

--- a/src/afterfact.rs
+++ b/src/afterfact.rs
@@ -201,7 +201,9 @@ fn emit_csv<W: std::io::Write>(
        let (_, detect_infos) = multi.pair();
        timestamps.push(_get_timestamp(time));
        for detect_info in detect_infos {
-            detected_record_idset.insert(format!("{}_{}", time, detect_info.eventid));
+            if !detect_info.detail.starts_with("[condition]") {
+                detected_record_idset.insert(format!("{}_{}", time, detect_info.eventid));
+            }
            if displayflag {
                //ヘッダーのみを出力
                if plus_header {