<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Courier New";
        mso-fareast-language:EN-AU;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-AU" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi, has anyone got “ports” working with “LOCAL” criteria with client data from a powershell or bbwin client? It does not seem to work for me, but it works fine for unix clients:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">analysis.cfg line for windows host:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">HOST=windows.host<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:36.0pt">PORT "LOCAL=%([.:]80)$" state=LISTEN TEXT=http<o:p></o:p></p>
<p class="MsoNormal" style="text-indent:36.0pt">PORT "LOCAL=%([.:]443)$" state=LISTEN TEXT=https<o:p></o:p></p>
<p class="MsoNormal">                PORT STATE=LISTENING MIN=0 TRACK=Listen TEXT=Listen<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Display output:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<pre><img width="16" height="16" id="Picture_x0020_5" src="cid:image002.gif@01D0C07A.A7D01740" alt="red"> http (found 0, req. 1 or more)<o:p></o:p></pre>
<pre><img width="16" height="16" id="Picture_x0020_4" src="cid:image002.gif@01D0C07A.A7D01740" alt="red"> https (found 0, req. 1 or more)<o:p></o:p></pre>
<pre><img width="16" height="16" id="Picture_x0020_3" src="cid:image001.gif@01D0C077.03C75260" alt="green"> Listen (found 43, req. none)<o:p></o:p></pre>
<pre><o:p> </o:p></pre>
<pre><o:p> </o:p></pre>
<pre>Active Connections<o:p></o:p></pre>
<pre><o:p> </o:p></pre>
<pre>  Proto  Local Address          Foreign Address        State<o:p></o:p></pre>
<pre>  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING<o:p></o:p></pre>
<pre>  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING<o:p></o:p></pre>
<pre>  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING<o:p></o:p></pre>
<pre>  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING<o:p></o:p></pre>
<pre>…<o:p></o:p></pre>
<pre>  TCP    [::]:80                [::]:0                 LISTENING<o:p></o:p></pre>
<pre>  TCP    [::]:135               [::]:0                 LISTENING<o:p></o:p></pre>
<pre>  TCP    [::]:443               [::]:0                 LISTENING<o:p></o:p></pre>
<pre>  UDP    0.0.0.0:123            *:*                    <o:p></o:p></pre>
<pre>  UDP    0.0.0.0:500            *:*                    <o:p></o:p></pre>
<pre>  UDP    0.0.0.0:4500           *:*                    <o:p></o:p></pre>
<pre>  UDP    0.0.0.0:5355           *:*                    <o:p></o:p></pre>
<pre>  UDP    0.0.0.0:11211          *:*                    <o:p></o:p></pre>
<pre>…<o:p></o:p></pre>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">analysis.cfg lines for unix host<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">HOST=unixhost.blah<o:p></o:p></p>
<p class="MsoNormal">        PORT "LOCAL=%([.:]80)$" state=LISTEN TEXT=http<o:p></o:p></p>
<p class="MsoNormal">        PORT "LOCAL=%([.:]22)$" state=LISTEN TEXT=ssh<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Display output:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU"><img width="16" height="16" id="Picture_x0020_2" src="cid:image001.gif@01D0C077.03C75260" alt="green"></span><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">
 http (found 3, req. 1 or more)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU"><img width="16" height="16" id="Picture_x0020_1" src="cid:image001.gif@01D0C077.03C75260" alt="green"></span><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">
 ssh (found 2, req. 1 or more)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 127.0.0.1.80           127.0.0.1.54675        TIME_WAIT<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 *.1984                 *.*                    LISTEN<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 *.22                   *.*                    LISTEN<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 *.*                    *.*                    CLOSED<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 *.80                   *.*                    LISTEN<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp4       0      0 10.0.1.1.80            *.*                    LISTEN<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-AU">tcp6       0      0 *.22                                          *.*                                           LISTEN<o:p></o:p></span></p>
<p class="MsoNormal">…..<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">A cursory glance at “xymond/xymond_client.c” found a “localcol” being defined as 4:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">1989:                   int localcol = 4, remotecol = 5, statecol = 6, portcolor = COL_GREEN;<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am not sure how it is handling the different number of columns from windows “netstat –an” which does not have the Recv-Q Send-Q columns present?<o:p></o:p></p>
<p class="MsoNormal">Any help/advice appreciated!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Cheers<o:p></o:p></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">Gavin Stone-Tolcher, IT Support Officer, Network Operations and Incident Response</span></b><b><span style="font-size:10.0pt;color:red;mso-fareast-language:EN-AU"><o:p></o:p></span></b></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">Information Technology Services<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">The University of Queensland<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">Level 4, Prentice Building, St Lucia 4072<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">T: +61 7 334 66645, M: +61 401 140 838<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">E:
</span><span style="font-size:10.0pt;color:red;mso-fareast-language:EN-AU"><a href="mailto:g.stone-tolcher@its.uq.edu.au"><span style="color:blue">g.stone-tolcher@its.uq.edu.au</span></a>
</span><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">W:
<a href="http://www.its.uq.edu.au"><span style="color:blue">www.its.uq.edu.au</span></a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">ITS: Service. Team. Accountability. Results.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">IMPORTANT:</span></b><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU"> This email and any attachments are intended solely for the addressee(s),
 contain copyright material and are confidential. We do not waive any legal privilege or rights in respect of copyright or confidentiality. Except as intended addressees are otherwise permitted, you do not have permission to use, disclose, reproduce or communicate
 any part of this email or its attachments. Statements, opinions and information not related to the official business of The University of Queensland are neither given nor endorsed by us. By using this email (including accessing any attachments or links) you
 agree we are not liable for any loss or damage of any kind arising in connection with any electronic defect, virus or other malicious code we did not intentionally include.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">Please consider the environment before printing this email.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#1F497D;mso-fareast-language:EN-AU">CRICOS Code 00025B<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>