Tenho o seguinte JSON (com base na saída NDPI)
{
"src_ip": "x.x.x.x",
"dest_ip": "x1.x1.x1.x1",
"src_port": 48318,
"dst_port": 443,
"ip": 4,
"proto": "TCP",
"ndpi": {
"flow_risk": {
"35": {
"risk": "Susp Entropy",
"severity": "Medium",
"risk_score": {
"total": 210,
"client": 165,
"server": 45
}
}
},
"confidence": {
"1": "Match by port"
},
"proto": "TLS",
"proto_id": "91",
"proto_by_ip": "Unknown",
"proto_by_ip_id": 0,
"encrypted": 1,
"breed": "Safe",
"category_id": 5,
"category": "Web"
},
"detection_completed": 1,
"check_extra_packets": 0,
"flow_id": 0,
"first_seen": 1733074272.824,
"last_seen": 1733074282.757,
"duration": 9.933,
"vlan_id": 0,
"bidirectional": 1,
"xfer": {
"data_ratio": -0.958,
"data_ratio_str": "Download",
"src2dst_packets": 1268,
"src2dst_bytes": 86239,
"src2dst_goodput_bytes": 2551,
"dst2src_packets": 2693,
"dst2src_bytes": 4042956,
"dst2src_goodput_bytes": 3865218
},
"iat": {
"flow_min": 1,
"flow_avg": 6.1,
"flow_max": 4005,
"flow_stddev": 108.3,
"c_to_s_min": 0,
"c_to_s_avg": 7.4,
"c_to_s_max": 4005,
"c_to_s_stddev": 137.8,
"s_to_c_min": 0,
"s_to_c_avg": 1.4,
"s_to_c_max": 35,
"s_to_c_stddev": 2.2
},
"pktlen": {
"c_to_s_min": 66,
"c_to_s_avg": 68.0,
"c_to_s_max": 514,
"c_to_s_stddev": 28.8,
"s_to_c_min": 66,
"s_to_c_avg": 1501.3,
"s_to_c_max": 1506,
"s_to_c_stddev": 76.6
},
"tcp_flags": {
"cwr_count": 0,
"ece_count": 0,
"urg_count": 0,
"ack_count": 3961,
"psh_count": 1323,
"rst_count": 0,
"syn_count": 0,
"fin_count": 0,
"src2dst_cwr_count": 0,
"src2dst_ece_count": 0,
"src2dst_urg_count": 0,
"src2dst_ack_count": 1268,
"src2dst_psh_count": 7,
"src2dst_rst_count": 0,
"src2dst_syn_count": 0,
"src2dst_fin_count": 0,
"dst2src_cwr_count": 0,
"dst2src_ece_count": 0,
"dst2src_urg_count": 0,
"dst2src_ack_count": 2693,
"dst2src_psh_count": 1316,
"dst2src_rst_count": 0,
"dst2src_syn_count": 0,
"dst2src_fin_count": 0
},
"c_to_s_init_win": 0,
"s_to_c_init_win": 0
}
Posso obter quase todas as informações (src_ip, portas, etc.), mas há uma coisa relacionada ao "flow_risk"
{"flow_risk": {"35": {"risk":"Susp Entropy","severity":"Medium"
que está relacionado ao número (neste caso 35). Este número pode ser diferente (de 01 a 50) e não sei como filtrar para buscar números diferentes.
No momento, esse é o filtro que estou usando
cat data.json | jq -r '"\(.src_ip),\(.src_port),\(.dest_ip),\(.dst_port),\(.proto),\(.ndpi.proto),\(.ndpi.category),\(.ndpi.hostname),\(.duration),\(.vlan_id),\(.xfer.src2dst_bytes),\(.xfer.dst2src_bytes),\(.ndpi.flow_risk."35".risk),\(.ndpi.flow_risk."35".severity)"')
Isso funciona quando o número é exatamente 35, mas há alguma chance de usar algo como curingas com jQ?
Quero dizer, como posso fazer isso para aceitar vários números? (por exemplo: pesquisar de 01 a 50?)
Algo como
\(.ndpi.flow_risk."*".risk),\(.ndpi.flow_risk."*".severity)"')
obrigado !
Essa parte do filtro pode ser representada de várias maneiras, mas na minha experiência uma das maneiras mais fáceis de trabalhar com as chaves de um objeto envolve
to_entries.Como exemplo, você pode usar algo como
.ndpi.flow_risk | to_entries[] | select(.key | tonumber | . <= 50 and . >= 0).value | "\(.risk),\(.severity)"para obter essas duas últimas informações (se o"flow risk"objeto tiver a garantia de ter apenas uma única chave, que é garantidamente numérica)Para acessar uma variável, mas uma chave conhecida, use o
--argsinalizador para vincular uma variável a um valor e, em seguida,.[$varname]para acessar o campo :Para acessar todas as chaves, basta usar
.[]. No entanto, você provavelmente quer referenciar as mesmas chaves nas duas vezes que usou35no exemplo. Para isso, itere antes de criar (a parte relevante de) a string de saída e referencie o valor da iteração (contexto):Para acessar um intervalo específico, use
rangepara criá-lo, transforme-o em uma string usandotostringe proceda como acima ("0" +adiciona o zero e[-2:]o reduz aos dois últimos caracteres):