Perl skript, regularni vyrazy a snortlog.

Jaroslav Stefka jaroslav.stefka na anet-brno.cz
Úterý Listopad 27 09:50:03 CET 2001


Dobry den,
pomerne dlouho pouzivat snort(a) a perl skript snort2html. Nyni jsem presel
na novou verzi snorta 1.8.x z verze 1.7x. Novy snort pouziva jiny format
zaznamu do logu. Rikal jsem si, ze prece nejsem tak hloupy a ze si
proste skript snort2html upravim. A narazil jsem na regularni vyrazy. Nejsem
programator, takze se mi to zda celkem maso. Precetl jsem si serial od pana
Satrapy na root.cz a pripada mi to jako jeste vetsi maso nez predtim :-)
Mohl bych sice pro zpracovani logu ze snorta pouzit nejaky mocnejsi nastroj,
napr. snortsnarf, ale pro zbezny prehled mi snort2html staci. A taky mi to
neda a chtel bych se aspon trosku neco priucit. Takze tedka ten dotaz:

Puvodni radek v logu byl tento:

Nov 18 05:23:06 linux snort[389]: SCAN Proxy attempt: 199.254.234.44:2361 -> 193.165.203.3:8080

A tento radek byl zpracovan ve skriptu snort2html touto sekvenci:

/(.*\s[1-9]*)(\d+\s)(..:..:..\s)(.*:\s)(.*:\s)(.*\d\s)(.*\s)(.*)/;  

# Variables extracted from pattern matching above.
$month=$1;   
$day=$2;
$timeofday=$3;
$hour=$3;
$attack=$5;
$sourceip=$6;
$sourceport=$6;
$targetip=$8;
$targetport=$8;

Novy format logu snorta je nasledujici:

Nov 25 08:32:48 linux snort: [1:1256:2] WEB-IIS CodeRed v2 root.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 193.194.90.3:4732 -> 193.165.203.100:80

Jak zmenit regularni vyraz tak, abych do vyse uvedenych promennych dostal z noveho logu tytez udaje jako za starych casu?

Diky.

J. Stefka





Další informace o konferenci Linux