提供如下功能:
- Window Analytical日志读取
- Window Audit日志读取
- DNS抓包读取
- build: 存放编译脚本
- cmd:
- dnslogtail: linux下使用的dns抓包插件
- wineventtail: window下Analytical/Audit日志及dns抓包插件
- consumer: 消费实现,目前实现了syslog、ftp/sftp
- reader:解析实现,目前实现了elt文件、evtx文件读取及dns抓包
- eventlog:定义日志结构体
由于gopacket库的原因,没办法像之前一样在本机直接交叉编译,window目前是支持的,故参考golang-crossbuild提供的交叉编译的方案实现。
- 首先保证本机安装了docker
- 然后根据不同架构进行执行
cd build && sh build.sh linux amd64 cd build && sh build.sh windows amd64 cd build && sh build.sh linux arm64
编译好的文件会存放在deploy目录下:
- linux
- amd64
- arm64
- windows
- amd64
cd build && sh pack.sh linux amd64
cd build && sh pack.sh windows amd64
cd build && sh pack.sh linux arm64
打包文件会存放在deploy目录下:
- linux
- amd64
- arm64
- windows
- amd64