unified2 is 'n suiwer-Python parser vir IDS (dink [Blaas] (http://snort.org)) unified2 binêre log formaat.
Module laat IDS logs in binêre "unified2" formaat te verwerk in python voorwerpe.
Dit maak nie reël ids los en is nie bedoel om 'n plaasvervanger vir barnyard2 of Blaas self in daardie rol te wees.
Hoofdoel is 'n pakkie van data van die log, wat verband hou met 'n paar besonder veroorsaak te onttrek (en opgelos / aangemeld afsonderlik via 'n ander manier, bv alert_syslog of alert_csv snuif modules) reël, so ek het nie veel aandag aan die verwerking geval metadata.
Module nie C komponente en nie ctypes gebruik, so moet redelik draagbare aan nie-cPython taal implementering wees.
Format
Formaat definisie is afgelei van Blaas kop (src / sfutil / Unified2_common.h) via pyclibrary module en is die kas in unified2 / _format.py lêer.
Nuwer definisies (sê, as nuwe data tipes is bygevoeg) gegenereer kan word deur die loop van dieselfde script op die Blaas se Unified2_common.h:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; bzr tak LP: pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; cd pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; python ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
Installasie
Dit is 'n gereelde pakket vir Python 2.7 (nie 3.X).
Met behulp van neut is die beste manier om:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pit installeer unified2
As jy dit nie het nie, gebruik:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install pit
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pit installeer unified2
Alternatiewelik sien ook:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Krul https://raw.github.com/pypa/pip/master/contrib/get-pip.py | luislang
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pit installeer unified2
Of, as jy absoluut moet:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install unified2
Maar, jy moet regtig nie doen nie.
Huidige-git weergawe geïnstalleer kan word soos hierdie:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pit installeer -e 'git: //github.com/mk-fg/unified2.git#egg=unified2'
Gebruik
Eenvoudige voorbeeld:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; invoer unified2.parser
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; vir ev, ev_tail in unified2.parser.parse ('/ var / log / snuif / snort.u2.1337060186'):
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Druk 'Event:', ev
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; As ev_tail: Druk 'Event stert:', ev_tail
Event voorwerp hier is 'n dict van metadata en 'n "stert", wat kan óf 'n blob of 'n soortgelyke rekursief-ontleed tal van metadata-dict en "stert" (bv vir UNIFIED2_EXTRA_DATA).
unified2.parser.Parser koppelvlak word die beste geïllustreer deur die unified2.parser.read funksie:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; parser, buff_agg = Parser (), ''
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; terwyl Ware:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff = parser.read (src)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Indien nie buff: breek # EOF
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff_agg + = buff
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; terwyl Ware:
buff_agg, ev = parser.process (buff_agg)
As ev is Geen: break
opbrengs ev
Idee hier is dat Parser.read metode genoem kan word met 'n stroom (bv 'n lêer voorwerp), terugkeer egter baie grepe parser moet die volgende parseable stuk van data te kry (een pakkie, in die geval van u2 log) of wat ook al gelees kan word op die oomblik, leë string is gewoonlik 'n aanduiding van EOF of miskien nie-blokkeer lees terugkeer.
Parser.process dan moet genoem word met opgehoopte (deur Parser.read noem) buffer, die terugkeer van die eerste pakkie wat ontleed kan word van daar (of Geen, as buffer is nie groot genoeg) en die res van (nie-ontleed) buffer data.
Vereistes :
- Python
Kommentaar nie gevind