Everything repeats from VULN to VULN
It is necessary to pull out the Number of VULN, severity, cveid, CVSS_BASE, CONSEQUNCE
<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
<VULN number="MP-412825" severity="5" cveid="CVE-2011-1987">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412827" severity="5" cveid="CVE-2011-1988">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412828" severity="5" cveid="CVE-2011-1989">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412829" severity="5" cveid="CVE-2011-1990">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412879" severity="5" cveid="CVE-2011-3413">
<TITLE> OfficeArt</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft PowerPoint и связана с обработкой специально сформированных файлов PowerPoint. Злоумышленник может воспользоваться уязвимостью, создав специальный файл, который затем может быть передан с электронным письмом в виде вложения или размещен на специально сформированном или скомпрометированном веб-сайте.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-094]]></SOLUTION></VULN>
<VULN number="MP-412937" severity="5" cveid="CVE-2012-0183">
<TITLE> RTF-</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Office и связана с обработкой специально сформированных данных в формате Rich Text Format (RTF). Эксплуатация данной уязвимости позволяет злоумышленнику получить полный контроль над системой; после чего он может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, права которых в системе ограничены, менее подвержены данной уязвимости, чем пользователи, работающие с правами администратора.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms12-029]]></SOLUTION></VULN>
is this in an event or are you putting this regex in your conf files?
if it is in your event, have you thought about xmlkv
?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath
otherwise, i think this regex might be a step in the right direction:
\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>
Can you please try like below,
props.conf
[yoursourcetype]
BREAK_ONLY_BEFORE = <VULN
DATETIME_CONFIG =
KV_MODE = xml
NO_BINARY_CHECK = true
category = Custom
pulldown_type = true
is this in an event or are you putting this regex in your conf files?
if it is in your event, have you thought about xmlkv
?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath
otherwise, i think this regex might be a step in the right direction:
\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>
Thank you:)
And if And if I can make groups from
<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
What regex fit?
PS. from <VULN number to </VULN>
Also Everything repeats ..