Cayu - Wiki de Sergio Cayuqueo

Herramientas de usuario

Herramientas del sitio

Traza:
manuales:filtrador_de_logs

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
manuales:filtrador_de_logs [2009/07/05 03:20] cayumanuales:filtrador_de_logs [2014/04/08 15:05] (actual) – [Monitor de LOGS] cayu
Línea 24: Línea 24:
   * Log con todas las operaciones realizadas (falta definir formato)   * Log con todas las operaciones realizadas (falta definir formato)
   * Íntegramente configurable desde un archivo de conf.   * Íntegramente configurable desde un archivo de conf.
 +  * Extendible por medio de plugins
 +    * Parser de Archivos Alert Log de Oracle
 +    * Parser de Archivos auth.log de SSH
  
 **TODO** **TODO**
Línea 128: Línea 131:
  
 Actualmente en desarrollo, proximamente documentacion final del proyecto. Actualmente en desarrollo, proximamente documentacion final del proyecto.
 +
 +
 +
 +Para el desarrollo del plugin para chequear los archivos logs de auth de ssh use como referencia http://www.governmentsecurity.org/forum/index.php?showtopic=17795
 +
 +<code perl>
 +#!/usr/bin/perl
 +
 +# /var/log/messages parser coded by tgo
 +# http://www.anomalous-security.org
 +
 +use warnings;
 +
 +open(F,"/var/log/messages") or die($!);
 +
 +my %ips;
 +
 +while(<F>)
 +{
 + if ($_ =~ /(\d+\.\d+\.\d+\.\d+)/)
 + {
 + $ip = $1;
 +
 + if ($_ =~ /Accepted/)
 + {
 + $action = "accepted";
 + }
 + elsif($_ =~ /Failed password/)
 + {
 + $action = "failed";
 + }
 + else
 + {
 + next;
 + }
 +
 + if (defined($ips{$ip}{$action}))
 + {
 + $ips{$ip}{$action} = $ips{$ip}{$action} + 1;
 + }
 + else
 + {
 + $ips{$ip}{$action} = 1;
 + }
 + }
 +}
 +
 +close(F);
 +
 +for my $ip ( keys %ips )
 +{
 + $ips{$ip}{'accepted'} = 0 unless (defined($ips{$ip}{'accepted'}));
 + $ips{$ip}{'failed'} = 0 unless (defined($ips{$ip}{'failed'}));
 +
 + $total = $ips{$ip}{'accepted'} + $ips{$ip}{'failed'};
 +
 + print "------- Report for $ip -----------\n";
 + print "Total Entries: " . $total . "\n";
 + print "Accepted Logins: " . $ips{$ip}{'accepted'} . "\n";
 + print "Failed Logins: " . $ips{$ip}{'failed'} . "\n";
 +}
 +</code>
 +
 +Ejemplo de salida de ejecución
 +
 +<code>
 +------- Report for 60.28.27.14 -----------
 +Total Entries: 41
 +Accepted Logins: 0
 +Failed Logins: 41
 +------- Report for 210.56.192.70 -----------
 +Total Entries: 1261
 +Accepted Logins: 0
 +Failed Logins: 1261
 +------- Report for 202.201.5.139 -----------
 +Total Entries: 19
 +Accepted Logins: 0
 +Failed Logins: 19
 +</code>
 +
 +
  
 Archivos : Archivos :
  
 {{:manuales:logtail0.1.tgz|}} {{:manuales:logtail0.1.tgz|}}
 +
 +{{:manuales:logtail0.2.tgz|}}
manuales/filtrador_de_logs.1246764053.txt.gz · Última modificación: 2009/07/05 03:20 por cayu