 Hallo, de DDS Tevens hier, senior-handler op de internetstormcentrum. Dit is een video voor een diary entry dat ik zei dat ik naar de logfiles extracteerde informatie van de logfiles hier een netwerkactiviteer logfile. Dus ik heb de file hier, het is gzip-compress, dus ik kan dit decompressen met gnzip. En laat me je een deel laten zien van het begin van de file. Dus dat is hoe dat format lijkt. Elke netwerk event en elke connectie, bijvoorbeeld, is op een verschillende lijn met informatie met fields. En elke value van een field is precedeerd door het fieldname equal. Ik heb gezegd dat dit format called logfmt is, maar ik ben niet zeker dat ik niet vind informatie over dit bijvoorbeeld op Wikipedia. Dus wat wil ik doen? Voor een particulare source IP adres, wil ik weten wat de publieke destinatie IP adresen waren voor dat log. Dus ik filterer eerst voor dat source IP adres. Ik ben geïnteresseerd in source IP 192, 168, 202, 106. Hier heb je ze. Nu een paar dingen. Eerst de dot hier. Dat is een speciaal karakter in regelaar expression. Dus we moeten dat uitkijken. En naast, in dit geval is het niet belangrijk omdat we drie digitus hebben, maar laten we zeggen dat we alleen twee digitus hebben. Dan moet er ook iets zoals 106 zijn. In dat geval zou je een speciaal karakter nemen. Dus 106 speciaal. Nu ga ik een regelaar expression gebruiken om de destinatie IP adresen te krijgen. List IP equals Welke karakter is niet een speciaal karakter. Oké. Nu, ik wil gewoon de IP adres, niet de rest van de lijn. Dus ik define een capture groep. Paranties is de deel van de expressie die de IPv4 adresen is. Dit is de list capture groeps. Ik heb ze hier. Nu wil ik ook weg doen met deze private IP adresen. Dit kan worden gedaan met de extract IP adreses operatie. Nu moeten we eigenlijk niet extract IP adresen, want we hebben ze al. Maar het is om extract IP adresen. Het heeft een optie om de local IPv4 adresen te brengen. Dus ik neem dit. En nu heb ik alleen publieke destinatie IP adresen. En laten we gewoon wat statistieën maken. Uniek. Dus deze zijn de twee destinaties. En ik ga op de display-kant. En dat is hoeveel interesse we hebben. Dus dat is hoe je snel kunnen extract informatie, zoals destinaties. Just one other thing. Let me show you. Let me duplicate this. And let me disable these operations. I need to take the input file again. So I'm going to now look at the protocol. This. UDP. And let's do unique. So I have mostly UDP and some TCP. So let's see what we have here for those destination IP addresses. So I'm going to add another filter. Right after the source IP filter. And here I say proto equals UDP. Ok, that's what we have. And proto TCP, nothing. Just the one that's the counter for the empty line. So if you do away with that you have nothing. So what we have here is just UDP connections.