2.19.0 [2024/11/26] "Every Day Is A Good Day Release"

New Features:

Support for the gt, gte, lt, lte field modifiers. (#1433) (@fukusuket)
New log-metrics command to get information about .evtx files. (computer names, event count, first timestamp, last timestamp, channels, providers) (#1474) (@fukusuket)
New -b, --disable-abbreviations options for the following commands to disable Channel and Provider abbreviations for when you want to check the original values. (#1485) (@fukusuket)
- csv-timeline
- json-timeline
- eid-metrics
- log-metrics
- search
Support for utf16/utf16be/utf16le/wide field modifiers to be used with the base64offset|contains field modifier. (#1432) (@fukusuket)
- utf16|base64offset|contains
- utf16be|base64offset|contains
- utf16le|base64offset|contains
- wide|base64offset|contains

Updated the yaml-rust crate to yaml-rust2. (#461) (@YamatoSecurity)
windash characters are now being dynamically read from rules/config/windash_characters.txt. (#1440) (@fukusuket)
logon-summary command now displays logon information from RDP events. Note: Hayabusa will output more detailed information when saving to a file. (#1468) (@fukusuket)
The colors were updated to make it easier to read. (#1480) (@YamatoSecurity)
Added start and finish messages of the day. (#1492) (@fukusuket)
New color scheme added to output. (#1491) (@fukusuket)
File size is now displayed next to the file name under the progress bar. (#1471) (@fukusuket)

logon-summary command would sometimes crash with corrupted logs. (#1477) (@fukusuket)
Some results would be displayed after the progress bar when outputting results to the terminal with csv-timeline and json-timeline. (#1459) (@fukusuket)
The detailed field value results in aggregation rule alerts were not sorted so csv-timeline and json-timeline would not output completely exact results each time. (#1466) (@fukusuket)
Updated hayabusa-evtx crate to 0.8.12. (@YamatoSecurity)
- JSON field output order is now preserved according to the original XML. (omerbenamram/evtx #241)
- Multiple sub-nodes with attributes and the same name would be overwritten and only the last one kept. (omerbenamram/evtx #245)
logon-summary and eid-metrics would sometimes output multiple progress bars. #1479 (@fukusuket)
The progress bar has been removed when outputting to terminal and not sorting events as is unneeded. #1508 (@fukusuket)

The --timeline-offset option has been renamed to --time-offset. (#1490) (@YamatoSecurity)

gt、gte、lt、lteのフィールドモディファイアに対応した。(#1433) (@fukusuket)
新しいlog-metricsコマンドで.evtxファイルの情報を取得できるようになった。(コンピュータ名、イベント数、最初のタイムスタンプ、最後のタイムスタンプ、チャネル、プロバイダ) (#1474) (@fukusuket)
以下のコマンドにChannelとProviderの略称を無効にする-b, --disable-abbreviationsオプションを追加した。元の値を確認したい時に便利。 (#1485) (@fukusuket)
- csv-timeline
- json-timeline
- eid-metrics
- log-metrics
- search
utf16/utf16be/utf16le/wideフィールドモディファイアがbase64offset|containsフィールドモディファイアと一緒に使えるようになった。 (#1432) (@fukusuket)
- utf16|base64offset|contains
- utf16be|base64offset|contains
- utf16le|base64offset|contains
- wide|base64offset|contains

yaml-rustクレートをyaml-rust2に更新した。(#461) (@YamatoSecurity)
windash文字が、rules/config/windash_characters.txtから動的に読み込まれるようになった。(#1440) (@fukusuket)
logon-summaryコマンドがRDPイベントからのログオン情報を表示するようになった。注意: ファイルに保存する場合、Hayabusaはより詳細な情報を出力する。(#1468) (@fukusuket)
見やすくなるように色を更新した。 (#1480) (@YamatoSecurity)
実行開始と終了のメッセージを出力するようにした。 (#1492) (@fukusuket)
出力に新しい配色を追加した。 (#1491) (@fukusuket)
ファイルサイズがプログレスバーの下のファイル名の横に表示されるようになった。 (#1471) (@fukusuket)

logon-summary`コマンドが破損したログでクラッシュすることがあった。(#1477) (@fukusuket)
csv-timelineとjson-timelineコマンドで、結果をターミナルに出力すると、プログレスバーの後にいくつかの結果が表示されていた。(#1459) (@fukusuket)
集計ルールのアラートの詳細フィールド値の結果がソートされていないため、csv-timelineとjson-timelineは、毎回完全に正確な結果を出力しなかった。 (#1466) (@fukusuket)
hayabusa-evtxクレートをバージョン0.8.12に更新した。(@YamatoSecurity)
- JSONフィールドの出力順序が元のXMLに従って保持されるようになった。(omerbenamram/evtx #241)
- 属性と同じ名前を持つ複数のサブノードは上書きされ、最後の1つだけが出力されていた。(omerbenamram/evtx #245)
logon-summaryとeid-metricsが複数のプログレスバーを出力することがあった。 #1479 (@fukusuket)
ターミナルに出力し、イベントをソートしない場合、プログレスバーは不要なため削除された。 #1508 (@fukusuket)