hayabusa
v2.18.0 ?
Hayabusa は、日本のヤマト セキュリティ グループによって作成されたWindows イベント ログ高速フォレンジック タイムライン ジェネレーターおよび脅威ハンティング ツールです。ハヤブサは日本語で「ハヤブサ」を意味し、ハヤブサが世界で最も足が速く、狩猟が得意で、訓練しやすい動物であることから選ばれました。 Rust で書かれており、可能な限り高速にするためにマルチスレッドをサポートしています。シグマルールをハヤブサルール形式に変換するツールを提供しました。シグマ互換のはやぶさ検出ルールは、可能な限り簡単にカスタマイズおよび拡張できるように、YML で記述されています。 Hayabusa は、ライブ分析のために単一の実行システム上で実行することも、オフライン分析のために単一または複数のシステムからログを収集することによって実行することも、企業全体の脅威ハンティングとインシデント対応のために Velociraptor で Hayabusa アーティファクトを実行することによって実行することもできます。出力は単一の CSV タイムラインに統合され、LibreOffice、Timeline Explorer、Elastic Stack、Timesketch などで簡単に分析できるようになります。
evtxクレートのより保守されたフォーク。-Tオプション)-Hオプション)-M複数行出力)computer-metricsコマンドcomputer-metricsコマンドの例computer-metricsスクリーンショットeid-metricsコマンドeid-metricsコマンドの例eid-metricsコマンド構成ファイルeid-metricsスクリーンショットlogon-summaryコマンドlogon-summaryコマンドの例logon-summaryスクリーンショットpivot-keywords-listコマンドpivot-keywords-listコマンドの例pivot-keywords-list設定ファイルsearchコマンドsearchコマンドの例searchcsv-timelineコマンドcsv-timelineコマンドの例csv-timelineコマンド構成ファイルjson-timelineコマンドjson-timelineコマンドの例と構成ファイルlevel-tuningコマンドlevel-tuningコマンドの例level-tuning設定ファイルlist-profilesコマンドset-default-profileコマンドset-default-profileコマンドの例update-rulesコマンドupdate-rulesコマンドの例minimalプロファイル出力standardプロファイル出力verboseプロファイル出力all-field-infoプロファイルの出力all-field-info-verboseプロファイル出力super-verboseプロファイル出力timesketch-minimalプロファイル出力timesketch-verboseプロファイル出力Hayabusa には現在 4,000 を超えるシグマ ルールと 170 を超える Hayabusa の組み込み検出ルールがあり、さらにルールが定期的に追加されます。これは、ヴェロキラプトルのハヤブサ アーティファクトを使用して、企業全体のプロアクティブな脅威ハンティングや DFIR (デジタル フォレンジックおよびインシデント対応) に無料で使用できます。これら 2 つのオープンソース ツールを組み合わせることで、環境内に SIEM セットアップが存在しない場合でも、基本的に SIEM を遡及的に再現できます。これを行う方法については、Eric Capuano の Velociraptor ウォークスルーをこちらでご覧ください。
Windows イベント ログの分析は、従来、非常に長くて退屈なプロセスでした。その理由は、Windows イベント ログは 1) 分析が難しいデータ形式であり、2) データの大部分はノイズであり、調査には役に立ちません。 Hayabusa の目標は、有用なデータのみを抽出し、専門的な訓練を受けたアナリストだけでなく、Windows システム管理者であれば誰でも使用できる、できるだけ簡潔で読みやすい形式で表示することです。 Hayabusa は、従来の Windows イベント ログ分析と比較して、アナリストが作業の 80% を 20% の時間で完了できるようにしたいと考えています。
-Tオプション) 
-Hオプション) 
-M複数行出力) 
ここでは、Excel とタイムライン エクスプローラーで CSV タイムラインを分析する方法を学習できます。
CSV ファイルを Elastic Stack にインポートする方法については、こちらをご覧ください。
CSV ファイルを Timesketch にインポートする方法については、こちらをご覧ください。
ここでは、 jqを使用して JSON 形式の結果を分析する方法を学習できます。
|equalsfieldや|endswithfieldなどの新しい集計機能もサポートしています。0xc0000234 -> ACCOUNT LOCKED )コンパイルされたバイナリを含む Hayabusa の最新の安定バージョンをダウンロードするか、リリース ページからソース コードをコンパイルしてください。
次のアーキテクチャのバイナリを提供します。
hayabusa-xxx-lin-aarch64-gnu )hayabusa-xxx-lin-x64-gnu )hayabusa-xxx-lin-x64-musl )hayabusa-xxx-mac-aarch64 )hayabusa-xxx-mac-x64 )hayabusa-xxx-win-aarch64.exe )hayabusa-xxx-win-x64.exe )hayabusa-xxx-win-x86.exe )何らかの理由で Linux ARM MUSL バイナリは適切に動作しないため、そのバイナリは提供されていません。これは私たちの管理外ですので、将来的に修正されたら提供する予定です。
v2.18.0 の時点では、単一のファイルで提供される XOR エンコードされたルールと、単一のファイルに結合されたすべての構成ファイル (hayabusa-encoded-rules リポジトリでホストされている) を使用する特別な Windows パッケージが提供されています。名前にlive-responseを含む zip パッケージをダウンロードするだけです。 zip ファイルには、Hayabusa バイナリ、XOR エンコードされたルール ファイル、構成ファイルの 3 つのファイルのみが含まれています。これらのライブ応答パッケージの目的は、クライアント エンドポイントで Hayabusa を実行するときに、Windows Defender などのウイルス対策スキャナーが.ymlルール ファイルで誤検知をしないようにすることです。また、USN Journal などのフォレンジック成果物が上書きされないように、システムに書き込まれるファイルの量を最小限に抑えたいと考えています。
次のコマンドを使用してリポジトリをgit clone 、ソース コードからバイナリをコンパイルできます。
警告:リポジトリのメイン ブランチは開発目的であるため、まだ正式にリリースされていない新機能にアクセスできる場合がありますが、バグがある可能性があるため、不安定であると考えてください。
git clone https://github.com/Yamato-Security/hayabusa.git --recursive注: --recursive オプションの使用を忘れた場合、git サブモジュールとして管理される
rulesフォルダーは複製されません。
rulesフォルダーを同期して、 git pull --recurse-submodulesを使用して最新の Hayabusa ルールを取得するか、次のコマンドを使用できます。
hayabusa.exe update-rules更新に失敗した場合は、 rulesフォルダーの名前を変更して再試行する必要がある場合があります。
注意: 更新すると、
rulesフォルダー内のルールと設定ファイルは、hayabusa-rules リポジトリ内の最新のルールと設定ファイルに置き換えられます。既存のファイルに加えた変更は上書きされるため、更新する前に編集したファイルのバックアップを作成することをお勧めします。level-tuningを使用してレベル調整を実行している場合は、更新のたびにルール ファイルを再調整してください。rulesフォルダー内に新しいルールを追加した場合、更新時にルールが上書きされたり削除されたりすることはありません。
Rust がインストールされている場合は、次のコマンドを使用してソースからコンパイルできます。
注: コンパイルするには、通常、最新バージョンの Rust が必要です。
cargo build --release最新の不安定バージョンはメイン ブランチから、または最新の安定バージョンはリリース ページからダウンロードできます。
Rust を次のもので定期的に更新してください。
rustup update stableコンパイルされたバイナリは./target/releaseフォルダーに出力されます。
コンパイルする前に、最新の Rust クレートに更新できます。
cargo updateアップデート後に何か問題が発生した場合はお知らせください。
次のようにして、64 ビット Windows システム上で 32 ビット バイナリを作成できます。
rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release警告: Rust の新しい安定バージョンが存在する場合は必ず
rustup install stable-i686-pc-windows-msvcを実行してください。rustuprustup update stableではクロスコンパイル用のコンパイラーが更新されず、ビルドエラーが発生する可能性があります。
openssl に関するコンパイル エラーが発生した場合は、Homebrew をインストールしてから、次のパッケージをインストールする必要があります。
brew install pkg-config
brew install opensslopenssl に関するコンパイル エラーが発生した場合は、次のパッケージをインストールする必要があります。
Ubuntu ベースのディストリビューション:
sudo apt install libssl-devFedora ベースのディストリビューション:
sudo yum install openssl-develLinux OS では、まずターゲットをインストールします。
rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl以下でコンパイルします。
cargo build --release --target=x86_64-unknown-linux-musl警告: Rust の新しい安定バージョンが存在する場合は常に
rustup install stable-x86_64-unknown-linux-muslを実行してくださいrustup update stableではクロスコンパイル用のコンパイラが更新されず、ビルドエラーが発生する可能性があります。
MUSL バイナリは./target/x86_64-unknown-linux-musl/release/ディレクトリに作成されます。 MUSL バイナリは GNU バイナリよりも約 15% 遅いですが、Linux のさまざまなバージョンやディストリビューション間での移植性が高くなります。
hayabusa を実行しようとしたとき、または検出シグネチャにmimikatzや疑わしい PowerShell コマンドなどのキーワードが含まれるため、 .ymlルールをダウンロードしたときでも、ウイルス対策製品や EDR 製品からアラートを受け取ることがあります。これらは誤検知であるため、hayabusa の実行を許可するにはセキュリティ製品で除外を構成する必要があります。マルウェアやサプライチェーン攻撃が心配な場合は、hayabusa のソースコードを確認し、バイナリをご自身でコンパイルしてください。
Windows Defender のリアルタイム保護により、特に再起動後の最初の実行時に実行時間が遅くなることがあります。これを回避するには、リアルタイム保護を一時的にオフにするか、hayabusa ランタイム ディレクトリに除外を追加します。 (これらを実行する前に、セキュリティ上のリスクを考慮してください。)
コマンド/PowerShell プロンプトまたは Windows ターミナルで、適切な 32 ビットまたは 64 ビットの Windows バイナリを実行するだけです。
Windows で組み込みのコマンドまたは PowerShell プロンプトを使用する場合、ファイルまたはディレクトリ パスにスペースがあると、Hayabusa が .evtx ファイルをロードできなかったというエラーが表示されることがあります。 .evtx ファイルを適切にロードするには、必ず次の手順を実行してください。
まずバイナリを実行可能ファイルにする必要があります。
chmod +x ./hayabusa次に、Hayabusa ルート ディレクトリから実行します。
./hayabusaターミナルまたは iTerm2 から、まずバイナリを実行可能ファイルにする必要があります。
chmod +x ./hayabusa次に、Hayabusa ルート ディレクトリから実行してみます。
./hayabusa最新バージョンの macOS を実行しようとすると、次のセキュリティ エラーが発生する場合があります。
「キャンセル」をクリックし、システム環境設定から「セキュリティとプライバシー」を開き、「全般」タブから「許可」をクリックします。
その後、再度実行してみてください。
./hayabusa以下の警告が表示されますので、「開く」をクリックしてください。
これで、hayabusa を実行できるようになります。
computer-metrics : コンピューター名に基づいてイベントの数を出力します。eid-metrics : イベント ID に基づいてイベントの数と割合を出力します。logon-summary : ログオン イベントの概要を出力します。pivot-keywords-list : ピボットする疑わしいキーワードのリストを出力します。search : キーワードまたは正規表現ですべてのイベントを検索しますcsv-timeline : タイムラインをCSV形式で保存します。json-timeline : タイムラインを JSON/JSONL 形式で保存します。level-tuning : アラートのlevelをカスタム調整します。list-profiles : 利用可能な出力プロファイルをリストします。set-default-profile : デフォルトのプロファイルを変更します。update-rules : ルールを hayabusa-rules GitHub リポジトリの最新ルールに同期します。 help : このメッセージまたは指定されたサブコマンドのヘルプを出力します。list-contributors : 貢献者のリストを出力します。computer-metricsコマンドcomputer-metricsコマンドを使用すると、 <System><Computer>フィールドで定義された各コンピューターに応じて存在するイベントの数を確認できます。元のコンピュータによってイベントを分離する場合、 Computerフィールドに完全に依存することはできないことに注意してください。 Windows 11 では、イベント ログに保存するときにまったく異なるComputer名が使用されることがあります。また、Windows 10 ではComputer名がすべて小文字で記録されることがあります。このコマンドは検出ルールを使用しないため、すべてのイベントを分析します。これは、どのコンピュータに最も多くのログがあるかをすぐに確認するために実行するのに適したコマンドです。この情報を使用すると、タイムラインの作成時に--include-computerまたは--exclude-computerオプションを使用して、コンピュータに応じて複数のタイムラインを作成したり、特定のコンピュータからイベントを除外したりすることで、タイムラインの生成をより効率的に行うことができます。
Usage: computer-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the results in CSV format (ex: computer-metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
computer-metricsコマンドの例hayabusa.exe computer-metrics -d ../logshayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv computer-metricsスクリーンショット
eid-metricsコマンドeid-metricsコマンドを使用すると、チャネルごとに区切られたイベント ID ( <System><EventID>フィールド) の合計数と割合を出力できます。このコマンドは検出ルールを使用しないため、すべてのイベントをスキャンします。
Usage: eid-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the Metrics in CSV format (ex: metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
eid-metricsコマンドの例hayabusa.exe eid-metrics -f Security.evtxhayabusa.exe eid-metrics -d ../logshayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv eid-metricsコマンド構成ファイルイベントのチャネル、イベント ID、およびタイトルはrules/config/channel_eid_info.txtで定義されます。
例:
Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.
eid-metricsスクリーンショット
logon-summaryコマンドlogon-summaryコマンドを使用すると、ログオン情報の概要 (ログオン ユーザー名、ログオンの成功数と失敗数) を出力できます。 -f使用すると 1 つの evtx ファイルのログオン情報を表示でき、 -dオプションを使用すると複数の evtx ファイルのログオン情報を表示できます。
Usage: logon-summary <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save the logon summary to two CSV files (ex: -o logon-summary)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
logon-summaryコマンドの例hayabusa.exe logon-summary -f Security.evtxhayabusa.exe logon-summary -d ../logs -o logon-summary.csv logon-summaryスクリーンショット
pivot-keywords-listコマンドpivot-keywords-listコマンドを使用すると、一意のピボット キーワードのリストを作成し、異常なユーザー、ホスト名、プロセスなどを迅速に特定したり、イベントを関連付けたりできます。
重要: デフォルトでは、hayabusa はすべてのイベント (情報イベントおよびそれ以上のイベント) からの結果を返すため、 pivot-keywords-listコマンドと-m, --min-levelオプションを組み合わせることを強くお勧めします。たとえば、 -m criticalを使用してcriticalアラートからキーワードのみを作成することから始めて、次に-m high 、 -m mediumなどと続けます...結果には、多くの通常のイベントに一致する共通のキーワードが含まれる可能性が高くなります。したがって、結果を手動で確認し、単一のファイル内に一意のキーワードのリストを作成した後、 grep -f keywords.txt timeline.csvのようなコマンドを使用して、不審なアクティビティの絞り込んだタイムラインを作成できます。
Usage: pivot-keywords-list <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-w, --no-wizard Do not ask questions. Scan for all events and alerts
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
-E, --EID-filter Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
-D, --enable-deprecated-rules Enable rules with a status of deprecated
-n, --enable-noisy-rules Enable rules set to noisy (./rules/config/noisy_rules.txt)
-u, --enable-unsupported-rules Enable rules with a status of unsupported
-e, --exact-level <LEVEL> Only load rules with a specific level (informational, low, medium, high, critical)
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--exclude-eid <EID...> Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
--exclude-status <STATUS...> Do not load rules according to status (ex: experimental) (ex: stable,test)
--exclude-tag <TAG...> Do not load rules with specific tags (ex: sysmon)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-eid <EID...> Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
--include-status <STATUS...> Only load rules with specific status (ex: experimental) (ex: stable,test)
--include-tag <TAG...> Only load rules with specific tags (ex: attack.execution,attack.discovery)
-m, --min-level <LEVEL> Minimum level for rules to load (default: informational)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save pivot words to separate files (ex: PivotKeywords)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
pivot-keywords-listコマンドの例hayabusa.exe pivot-keywords-list -d ../logs -m criticalkeywords-Ip Addresses.txt 、 keywords-Users.txtなどに保存されます): hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`
pivot-keywords-list設定ファイル./rules/config/pivot_keywords.txtを編集して、検索するキーワードをカスタマイズできます。このページはデフォルト設定です。
形式はKeywordName.FieldNameです。たとえば、 Usersのリストを作成するとき、 hayabusa はSubjectUserName 、 TargetUserName 、およびUserフィールドのすべての値をリストします。
searchコマンドsearchコマンドを使用すると、すべてのイベントをキーワード検索できます。 (はやぶさの検出結果だけではありません。)これは、はやぶさによって検出されなかった事象に何らかの証拠があるかどうかを判断するのに役立ちます。
Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
Filtering:
-a, --and-logic Search keywords with AND logic (default: OR)
-F, --filter <FILTER...> Filter by specific field(s)
-i, --ignore-case Case-insensitive keyword search
-k, --keyword <KEYWORD...> Search by keyword(s)
-r, --regex <REGEX> Search by regular expression
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-J, --JSON-output Save the search results in JSON format (ex: -J -o results.json)
-L, --JSONL-output Save the search results in JSONL format (ex: -L -o results.jsonl)
-M, --multiline Output event field information in multiple rows for CSV output
-o, --output <FILE> Save the search results in CSV format (ex: search.csv)
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
searchコマンドの例../hayabusa-sample-evtxディレクトリでキーワードmimikatzを検索します。 
