examples/using-yara.yaml

# cwd: recon/recon/src
#
# $ recon -q using-yara.yml -r ../tests
#
# ┌─────────────────────────────────────────┬──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
# │ path                                    │ yara_match                                                                                                                                                                                                                                                                                                                        │
# ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
# │ ../tests/cmd/query-nonempty.in/test.txt │ {"is_match":true,"on":"cmd/query-nonempty.in/test.txt","by":{"AsciiExample":true},"details":[{"identifier":"AsciiExample","metadatas":[],"namespace":"default","strings":[{"identifier":"$ascii_string","matches":[{"data":[104,101,108,108,111],"length":5,"offset":0}]}],"tags":[]}]}                                           │
# ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
# │ ../tests/cmd/digests.in/test.txt        │ {"is_match":true,"on":"cmd/digests.in/test.txt","by":{"AsciiExample":true},"details":[{"identifier":"AsciiExample","metadatas":[],"namespace":"default","strings":[{"identifier":"$ascii_string","matches":[{"data":[104,101,108,108,111],"length":5,"offset":0}]}],"tags":[]}]}                                                  │
# └─────────────────────────────────────────┴──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
# 2 files in 39.895ms
#
source:
  query: select path,yara_match from files where yara_match is not null
  # to only run YARA on subset of files
  before_computed_fields_query: "select * from files where ext = 'txt'"
  computed_fields:
    # match YARA rules against file content
    yara_match: |
      rule AsciiExample {
      strings:
        // A string to match -- default is ascii
        $ascii_string = "hello"

      condition:
        // The condition to match
        $ascii_string
      }