<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Ryan, <div>Just for fun,  I added in the IDS sensors as well as Sagan into the Quadrant / Sagan interface.  This will give you access to what</div><div>our IDS sensor is seeing,  and what your Sonicwall firewalls are seeing. </div><div><br></div><div><br><div><div>On Nov 8, 2011, at 2:40 AM, Rainer Gerhards wrote: </div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Champ,<br><br>I'll try to have a look later today. But as a general suggestion, it may be<br>useful to try such things out with the "normalize" program from liblognorm.<br>You can feed it the rule base (or a single rule ;)) and the actual message.<br>If you call normalize with -vv, you'll get a verbose output that tells you<br>how the actual matching process takes place.<br><br>As a side-note, I hope I will have some time to look at the normalizing tools<br>over the next couple of weeks. Maybe not that many hours per day, but<br>hopefully a bit every day (or every other ;)).<br><br>rainer<br><br><blockquote type="cite">-----Original Message-----<br></blockquote><blockquote type="cite">From: <a href="mailto:lognorm-bounces@lists.adiscon.com">lognorm-bounces@lists.adiscon.com</a> [mailto:lognorm-<br></blockquote><blockquote type="cite"><a href="mailto:bounces@lists.adiscon.com">bounces@lists.adiscon.com</a>] On Behalf Of Champ Clark III [Quadrant<br></blockquote><blockquote type="cite">Information Security]<br></blockquote><blockquote type="cite">Sent: Monday, November 07, 2011 10:36 PM<br></blockquote><blockquote type="cite">To: lognorm<br></blockquote><blockquote type="cite">Subject: [Lognorm] Issues with :'s in fields (?)<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre"> </span>Howdy all,<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre">        </span>I'm noticing a strange issue when I'm having to deal with<br></blockquote><blockquote type="cite">Sonicwall logs.  Here's the run down.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">The log lines look like this:<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">id=firewall sn=001111111111 time="2011-11-07 21:23:04 UTC"<br></blockquote><blockquote type="cite">fw=192.168.1.1 pri=3 c=4 m=14 msg="Web site access denied" n=0<br></blockquote><blockquote type="cite">src=10.110.14.117:54426:X0: dst=216.163.137.68:80:X1:<br></blockquote><blockquote type="cite">dstname=www.playboy.com arg=/ code=4 Category="Pornography"<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre">    </span>I'm trying to parse the src-ip/dst-ip & src-port/dst-port.  Those<br></blockquote><blockquote type="cite">are<br></blockquote><blockquote type="cite">the most important to me.  This is the rule I'm using (no prefix as of<br></blockquote><blockquote type="cite">yet):<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">rule=: id=%id:word% sn=%sn:word% time="%time:char-to:\x22%"<br></blockquote><blockquote type="cite">fw=%fw:ipv4% pri=%pri:number% c=%c:number% m=%m:number% msg="%msg:char-<br></blockquote><blockquote type="cite">to:\x22%" n=%n:number% src=%src-ip:ipv4%:%src-<br></blockquote><blockquote type="cite">port:number%:%inteface:word%: dst=%dst-ip:ipv4%:%interface:word%:<br></blockquote><blockquote type="cite">dstname=%website:word% arg=%arg:word% code=%code:number%<br></blockquote><blockquote type="cite">Category="%cat:char-to:\x22%"<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre">       </span>When I run it,  with liblognorm debugging,  I get:<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">[*] Normalize output: [cee@115 originalmsg=" id=firewall<br></blockquote><blockquote type="cite">sn=001111111111 time=\"2011-11-07 21:22:24 UTC\" fw=192.168.1.1 pri=3<br></blockquote><blockquote type="cite">c=4 m=14 msg=\"Web site access denied\" n=0 src=10.110.14.117:24423:X0:<br></blockquote><blockquote type="cite">dst=216.163.137.68:80:X1: dstname=www.playboy.com arg=/ code=4<br></blockquote><blockquote type="cite">Category=\"Pornography\" " unparsed-data=" dst=216.163.137.68:80:X1:<br></blockquote><blockquote type="cite">dstname=www.playboy.com arg=/ code=4 Category=\"Pornography\" "]<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre"> </span>No matter how I move around the rule,  the "dst=" always comes<br></blockquote><blockquote type="cite">back unparsed.  I'll look at it more tonight,  but my thought is that<br></blockquote><blockquote type="cite">the :'s fields might be messing things up.  What do you think?  Thanks.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><span class="Apple-tab-span" style="white-space:pre">   </span>Oh - Rainer,  I'll test out that new liblognorm feature ASAP.<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">--<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">   Champ Clark III | Quadrant Information Security | 904-253-7856<br></blockquote><blockquote type="cite">                      <a href="http://www.quadrantsec.com">http://www.quadrantsec.com</a><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">GPG Key ID: 0B30A6A7<br></blockquote><blockquote type="cite">Key fingerprint = A154 17D5 F16D 8C09 69FA  618B 3877 B04C 0B30 A6A7<br></blockquote><blockquote type="cite">If it wasn't for C, we'd be using BASI, PASAL and OBOL.<br></blockquote>_______________________________________________<br>Lognorm mailing list<br><a href="mailto:Lognorm@lists.adiscon.com">Lognorm@lists.adiscon.com</a><br>http://lists.adiscon.net/mailman/listinfo/lognorm<br></div></blockquote></div><br><div apple-content-edited="true">
<span><img height="61" width="182" id="beafcd5c-57ab-441c-bf5d-4f28be85efdd" apple-width="yes" apple-height="yes" src="cid:90535ED9-584C-4246-BF96-4F5A5FC9A7FE@vistech.net"></span><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><br><br>Champ Clark III<br>(office) 904.253.7856<br></span><div>(mobile) 850.443.2440 </div><div><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">(SOC) 800.538.9357 ext 101</span></div><div><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><a href="mailto:cclark@quadrantsec.com">cclark@quadrantsec.com</a><br>www.quadrantsec.com</span><div><div>
</div>
</div></div></span></div><br></div></body></html>