Closed YamatoSecurity closed 2 years ago
一旦確認します
確認しましたが、rulesの各種ファイルはlazy_staticで静的変数として扱っていますがそれで実行をしてしまうと、testの際にconfigオプションの参照ができずにテストができなくなるという事象を確認しました。対策を検討中です。
確認ありがとうございます! なるほど、ま、これは優先度低なので、時間がかかりそうでしたら、1.6.1等次のリリースでも良いと思います。 すごくややこしいんだったら、このファイルだけ対象外にしても良いかもしれません。
対応完了しました。私のプログラミング方法がまずかったので修正をしたところ無事直りました。この後pull requestを出しておきます。
@YamatoSecurity #682 で修正をさせていただきました。お手数をおかけしてしまい申し訳ございませんがご確認のほどよろしくお願いいたします。
Describe the bug
./hayabusa-1.6.0-dev -d ../hayabusa-sample-evtx -r ../hayabusa-rules -c ../hayabusa-rules/config -o test.csv
のようにhayabusa-rules/configのtarget_event_IDs.txtを編集して、検証していましたが、./rules/config/target_event_IDs.txt
が読み込まれていました。-c <存在しないdir>
を実行してみたら、[ERROR] Cannot open file. [file:../hayabusa-sample-evtx/eventkey_alias.txt]
のエラーが出るので、そのファイルを正しく読み込もうとしていますが、target_event_IDs.txt
(もしかして他の設定ファイルも)カスタムで設定できないようです。Step to Reproduce 別のディレクトリのhayabusa-rules/config/target_event_IDs.txtを編集して、
1
だけの1行を保存する。./hayabusa-1.6.0-dev -d ../hayabusa-sample-evtx -r ../hayabusa-rules -c ../hayabusa-rules/config -o test.csv
を実行して、EID 1のイベントだけ出力されるかどうかチェックする。Expected behavior
-c
で指定される設定ファイルが全部ロードされるはずです。Environment (please complete the following information):