unified2

Software screenshot:
unified2
Software ətraflı:
Version: 12.07.0
Tarixi Upload: 20 Feb 15
Geliştirici: Mike Kazantsev
Lisenziya: Pulsuz
Məşhurluq: 69

Rating: 4.5/5 (Total Votes: 2)

unified2 ikili log format unified2 IDS üçün təmiz Python parser (hesab edirəm ki, [fınxırtı] (http://snort.org)) təşkil edir.
Modul python obyektlərin ikili "unified2" formatında IDS logs emal etməyə imkan verir.
Bu qayda kimlikleri həll deyil və bu rolu barnyard2 və ya fınxırtı özü üçün bir əvəz etmək üçün nəzərdə deyil.
Əsas məqsəd səbəb bəzi xüsusi ilə bağlı daxil olan bir paket data çıxarış qayda (və həll / digər vasitələrlə, məsələn, alert_syslog və ya alert_csv fınxırmaq modulları vasitəsilə ayrı-ayrılıqda daxil), mən emal hadisə metadata çox diqqət yoxdur.
Modul C komponentləri yoxdur və ctypes istifadə etmir, belə ki, qeyri-CPython dil tətbiq üçün kifayət qədər portativ olmalıdır.
Format
Format müəyyən pyclibrary modulu vasitəsilə fınxırtı başlıqlarını (src / sfutil / Unified2_common.h) irəli gəlir və _format.py / unified2 fayl cached var.
Yeni anlayışlar (yeni məlumat növləri əlavə, əgər demək) fınxırtı nin Unified2_common.h eyni script çalışan tərəfindən edilə bilər:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; bzr filialı lp: pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; cd pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; python ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
Quraşdırma
Bu Python 2.7 (heç 3.x) üçün müntəzəm paketi var.
DİP istifadə ən yaxşı yoldur:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Tırtıl unified2 bərpa
Siz yoxsa, istifadə edin:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install pip
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Tırtıl unified2 bərpa
Alternativ həmçinin bax:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Curl https://raw.github.com/pypa/pip/master/contrib/get-pip.py | python
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Tırtıl unified2 bərpa
Və ya, siz tamamilə əgər:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install unified2
Lakin, həqiqətən lazım deyil.
Cari git versiyası bu kimi quraşdırıla bilər:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Tırtıl e yüklemek 'git: //github.com/mk-fg/unified2.git#egg=unified2 "
istifadə
Sadə nümunə:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; idxal unified2.parser
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; unified2.parser.parse olan ev, ev_tail üçün ('/ var / / fınxırmaq / snort.u2.1337060186 daxil'):
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; print "Hadisə:" ev
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; print 'Fəaliyyəti quyruq: "ev_tail əgər, ev_tail
Hadisə obyekt burada damcı və ya metadata-dict oxşar recursively-ayrıştırılan tuple və "quyruq" (UNIFIED2_EXTRA_DATA məsələn) ola bilər metadata bir dict və "quyruq" edir.
unified2.parser.Parser interface yaxşı unified2.parser.read funksiyası ilə təsvir olunur:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; parser, buff_agg = Parser (), ''
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; True isə:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Buff = parser.read (src)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Buff əgər: qırmaq # EOF
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff_agg + = Buff
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; True isə:
                        buff_agg, ev = parser.process (buff_agg)
                        break: ev None əgər
                        gəlir ev
Burada fikir Parser.read metodu lakin çox bytes parser (u2 Giriş halda bir paket) məlumatlarına növbəti parseable yığın almaq lazımdır və ya hər hansı oxumaq olar qaytarılması, (məsələn, fayl obyekt) bir axını ilə adlandırmaq lazımdır ki, Hal-hazırda, boş string adətən EOF və ya bəlkə qeyri-blok oxumaq qaytarılması bir göstəricisidir.
Və (qeyri-ayrıştırılan) bufer data qalan (bufer kifayət qədər böyük deyil, əgər, və ya None) Parser.process oradan ayrıştırılan ilk paket qaytarılması, yığılmış (Parser.read çağırır ilə) bufer ilə adlandırmaq lazımdır.

tələblər

  • Python

Oxşar proqram

logkeys
logkeys

17 Feb 15

Arm
Arm

19 Feb 15

Geliştirici digər proqram Mike Kazantsev

graphite-metrics
graphite-metrics

20 Feb 15

django-unhosted
django-unhosted

20 Feb 15

python-onedrive
python-onedrive

12 Apr 15

aura
aura

20 Feb 15

Şərh unified2

Şərhlər tapılmadı
Şərh əlavə
Images yandırın!