Herramientas de usuario

Herramientas del sitio


manuales:filtrador_de_logs

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Próxima revisión
Revisión previa
manuales:filtrador_de_logs [2009/07/05 00:13]
cayu creado
manuales:filtrador_de_logs [2014/04/08 12:05] (actual)
cayu [Monitor de LOGS]
Línea 24: Línea 24:
   * Log con todas las operaciones realizadas (falta definir formato)   * Log con todas las operaciones realizadas (falta definir formato)
   * Íntegramente configurable desde un archivo de conf.   * Íntegramente configurable desde un archivo de conf.
 +  * Extendible por medio de plugins
 +    * Parser de Archivos Alert Log de Oracle
 +    * Parser de Archivos auth.log de SSH
  
 **TODO** **TODO**
Línea 130: Línea 133:
  
  
 +
 +Para el desarrollo del plugin para chequear los archivos logs de auth de ssh use como referencia http://​www.governmentsecurity.org/​forum/​index.php?​showtopic=17795
 +
 +<code perl>
 +#​!/​usr/​bin/​perl
 +
 +# /​var/​log/​messages parser coded by tgo
 +# http://​www.anomalous-security.org
 +
 +use warnings;
 +
 +open(F,"/​var/​log/​messages"​) or die($!);
 +
 +my %ips;
 +
 +while(<​F>​)
 +{
 + if ($_ =~ /​(\d+\.\d+\.\d+\.\d+)/​)
 + {
 + $ip = $1;
 +
 + if ($_ =~ /Accepted/)
 + {
 + $action = "​accepted";​
 + }
 + elsif($_ =~ /Failed password/)
 + {
 + $action = "​failed";​
 + }
 + else
 + {
 + next;
 + }
 +
 + if (defined($ips{$ip}{$action}))
 + {
 + $ips{$ip}{$action} = $ips{$ip}{$action} + 1;
 + }
 + else
 + {
 + $ips{$ip}{$action} = 1;
 + }
 + }
 +}
 +
 +close(F);
 +
 +for my $ip ( keys %ips )
 +{
 + $ips{$ip}{'​accepted'​} = 0 unless (defined($ips{$ip}{'​accepted'​}));​
 + $ips{$ip}{'​failed'​} = 0 unless (defined($ips{$ip}{'​failed'​}));​
 +
 + $total = $ips{$ip}{'​accepted'​} + $ips{$ip}{'​failed'​};​
 +
 + print "​------- Report for $ip -----------\n";​
 + print "Total Entries: " . $total . "​\n";​
 + print "​Accepted Logins: " . $ips{$ip}{'​accepted'​} . "​\n";​
 + print "​Failed Logins: " . $ips{$ip}{'​failed'​} . "​\n";​
 +}
 +</​code>​
 +
 +Ejemplo de salida de ejecución
 +
 +<​code>​
 +------- Report for 60.28.27.14 -----------
 +Total Entries: 41
 +Accepted Logins: 0
 +Failed Logins: 41
 +------- Report for 210.56.192.70 -----------
 +Total Entries: 1261
 +Accepted Logins: 0
 +Failed Logins: 1261
 +------- Report for 202.201.5.139 -----------
 +Total Entries: 19
 +Accepted Logins: 0
 +Failed Logins: 19
 +</​code>​
 +
 +
 +
 +Archivos :
 +
 +{{:​manuales:​logtail0.1.tgz|}}
 +
 +{{:​manuales:​logtail0.2.tgz|}}
manuales/filtrador_de_logs.1246763635.txt.gz · Última modificación: 2009/07/05 00:13 por cayu