unified2

Software screenshot:
unified2
Rincian Software:
Versi: 12.07.0
Tanggal Upload: 20 Feb 15
Pengembang: Mike Kazantsev
Lisensi: Gratis
Popularitas: 69

Rating: 4.5/5 (Total Votes: 2)

unified2 adalah-Python murni parser untuk IDS (berpikir [Snort] (http://snort.org)) unified2 format log biner.
Modul memungkinkan untuk memproses IDS log dalam biner "unified2" format menjadi obyek python.
Ini tidak menyelesaikan aturan id dan tidak dimaksudkan untuk menjadi pengganti untuk barnyard2 atau Snort sendiri dalam peran tersebut.
Tujuan utama adalah untuk mengekstrak paket data dari log, terkait dengan beberapa tertentu dipicu (dan diselesaikan / login secara terpisah melalui cara lain, misalnya alert_syslog atau alert_csv modul snort) aturan, jadi saya belum membayar banyak perhatian untuk acara pengolahan metadata.
Modul tidak memiliki komponen C dan tidak menggunakan ctypes, jadi harus cukup portabel untuk implementasi bahasa non-CPython.
Format
Definisi Format berasal dari Snort header (src / sfutil / Unified2_common.h) melalui modul pyclibrary dan cache di unified2 / _format.py berkas.
Definisi baru (misalnya, jika tipe data baru yang ditambahkan) dapat dihasilkan dengan menjalankan script yang sama pada Snort itu Unified2_common.h:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; bzr cabang lp: pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; cd pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; python ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
Instalasi
Ini adalah paket reguler untuk Python 2,7 (tidak 3.x).
Menggunakan pip adalah cara terbaik:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip install unified2
Jika Anda tidak memilikinya, gunakan:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install pip
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip install unified2
Atau lihat juga:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Menggulung https://raw.github.com/pypa/pip/master/contrib/get-pip.py | python
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip install unified2
Atau, jika Anda benar-benar harus:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install unified2
Tapi, Anda benar-benar tidak harus melakukan itu.
Versi saat-git dapat diinstal seperti ini:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip install -e 'git: //github.com/mk-fg/unified2.git#egg=unified2'
Penggunaan
Contoh sederhana:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; impor unified2.parser
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; untuk ev, ev_tail di unified2.parser.parse ('/ var / log / snort / snort.u2.1337060186'):
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; print 'Event:', ev
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; jika ev_tail: print 'Acara ekor:', ev_tail
Objek acara di sini adalah dict metadata dan "ekor", yang dapat menjadi gumpalan atau tuple rekursif-parsing serupa metadata-dict dan "ekor" (misalnya untuk UNIFIED2_EXTRA_DATA).
antarmuka unified2.parser.Parser terbaik digambarkan oleh fungsi unified2.parser.read:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; parser, buff_agg = Parser (), ''
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; sementara Benar:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; penyuka = ​​parser.read (src)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; jika tidak penyuka: istirahat # EOF
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff_agg + = penggemar
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; sementara Benar:
                        buff_agg, ev = parser.process (buff_agg)
                        jika ev adalah None: istirahat
                        Hasil ev
Ide di sini adalah bahwa metode Parser.read harus disebut dengan aliran (misalnya file objek), kembali namun banyak byte parser perlu mendapatkan potongan parseable berikutnya data (satu paket, dalam kasus log u2) atau apa pun dapat dibaca pada saat ini, string kosong biasanya merupakan indikasi dari EOF atau mungkin non-blocking kembali membaca.
Parser.process kemudian harus disebut dengan akumulasi (oleh Parser.read panggilan) penyangga, kembali paket pertama yang bisa diurai dari sana (atau Tidak, jika buffer tidak cukup besar) dan buffer data (non-parsing) yang tersisa.

Persyaratan :

  • Python

Software yang serupa

tcptrack
tcptrack

3 Jun 15

Tenshi
Tenshi

14 Apr 15

Keystroke
Keystroke

17 Feb 15

Arm
Arm

19 Feb 15

Perangkat lunak lain dari pengembang Mike Kazantsev

graphite-metrics
graphite-metrics

20 Feb 15

aura
aura

20 Feb 15

django-unhosted
django-unhosted

20 Feb 15

Komentar untuk unified2

Komentar tidak ditemukan
Tambahkan komentar
Aktifkan gambar!