Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Splunk Search
×
Are you a member of the Splunk Community?
Sign in or Register with your Splunk account to get your questions answered, access valuable resources and connect with experts!
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
- Find Answers
- :
- Using Splunk
- :
- Splunk Search
- :
- Re: Which regex code will help pull out the xml fi...
Options
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
sphc
Explorer
10-11-2017
04:13 AM
Everything repeats from VULN to VULN
It is necessary to pull out the Number of VULN, severity, cveid, CVSS_BASE, CONSEQUNCE
<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
<VULN number="MP-412825" severity="5" cveid="CVE-2011-1987">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412827" severity="5" cveid="CVE-2011-1988">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412828" severity="5" cveid="CVE-2011-1989">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412829" severity="5" cveid="CVE-2011-1990">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412879" severity="5" cveid="CVE-2011-3413">
<TITLE> OfficeArt</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft PowerPoint и связана с обработкой специально сформированных файлов PowerPoint. Злоумышленник может воспользоваться уязвимостью, создав специальный файл, который затем может быть передан с электронным письмом в виде вложения или размещен на специально сформированном или скомпрометированном веб-сайте.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-094]]></SOLUTION></VULN>
<VULN number="MP-412937" severity="5" cveid="CVE-2012-0183">
<TITLE> RTF-</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Office и связана с обработкой специально сформированных данных в формате Rich Text Format (RTF). Эксплуатация данной уязвимости позволяет злоумышленнику получить полный контроль над системой; после чего он может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, права которых в системе ограничены, менее подвержены данной уязвимости, чем пользователи, работающие с правами администратора.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms12-029]]></SOLUTION></VULN>
1 Solution
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
cmerriman
Super Champion
10-11-2017
06:22 AM
is this in an event or are you putting this regex in your conf files?
if it is in your event, have you thought about xmlkv?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath
otherwise, i think this regex might be a step in the right direction:
\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
sbbadri
Motivator
10-11-2017
07:59 AM
Can you please try like below,
props.conf
[yoursourcetype]
BREAK_ONLY_BEFORE = <VULN
DATETIME_CONFIG =
KV_MODE = xml
NO_BINARY_CHECK = true
category = Custom
pulldown_type = true
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
cmerriman
Super Champion
10-11-2017
06:22 AM
is this in an event or are you putting this regex in your conf files?
if it is in your event, have you thought about xmlkv?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath
otherwise, i think this regex might be a step in the right direction:
\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
sphc
Explorer
10-13-2017
02:12 AM
Thank you:)
And if And if I can make groups from
<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE> Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
What regex fit?
PS. from <VULN number to </VULN>
Also Everything repeats ..
Get Updates on the Splunk Community!
What the End of Support for Splunk Add-on Builder Means for You
Hello Splunk Community!
We want to share an important update regarding the future of the Splunk Add-on Builder ...
Solve, Learn, Repeat: New Puzzle Channel Now Live
Welcome to the Splunk Puzzle PlaygroundIf you are anything like me, you love to solve problems, and what ...
Building Reliable Asset and Identity Frameworks in Splunk ES
Accurate asset and identity resolution is the backbone of security operations. Without it, alerts are ...
