 | Unified2.Analisador de formato de log binário de IDs unified2 |
| Baixe Agora | |
Unified2. Classificação e resumo
Propaganda
Unified2. Tag
Unified2. Descrição
Unified2 é um analisador pêsdão de python para IDs (pense (http://snort.org)) o formato de log binário unified2.module permite processar logs de IDs no formato "unified2" binário em objetos python.it não resolver regra IDs e não é para ser um substituto para o Barnyard2 ou bufar em si nessa função. O objetivo é extrair dados de pacotes do log, associado a alguns desencadeados específicos (e resolvidos / registrados separadamente através de outros meios, por exemplo, alert_syslog ou alert_csv snort Regra de módulos), então eu não recebi muita atenção ao processamento de metadados do evento.module não tem componentes c e não usa ctypes, então deve ser bastante portátil para implementações de idiomas não-CPYTHON.FormatFormat é derivado de cabeçalhos de snort (SRC / SFUTIL / unified2_common.h) via módulo PyClibrary e são armazenados em cache no arquivo unified2 / _format.py.Newer (digamos, se novos tipos de dados foram adicionados) podem ser gerados executando o mesmo script no unified2_common.h: BZR Branch LP: Pyclibrary CD Pyclibrary python ... / unified2 / _format.py ... / snort-2.xyz/src/sfutil/unified2_common.hinstallationit's um pacote regular para python 2.7 (não 3.x) .using pip é a melhor maneira:% pip install Unified2if Você não tem, use:% Easy_Install pip% pip install unified2alternativamente Veja também:% Curl https://raw.github.com/pyPa/pip/master/contrib/get-pip.py | Python% pip instalar unified2or, se você absolutamente deve:% Easy_install unified2 mas você realmente não deve fazer isso.Current-git versão pode ser instalado assim:% pip install -e 'git: //github.com/mk-fg /unified2.git#egg=unified2'Usagesimple Exemplo: Importar unified2.parser para ev, ev_tail in unified2.parser.parse ('/ var / log / snort.u2.1337060186'): Imprimir 'evento:', EV Se EV_TAIL: Imprimir 'Cauda de evento:', ev_tailet objeto aqui é um dito de metadados e uma "cauda", que pode ser uma bolha ou uma tupla semelhante de Metadata-dict e "cauda" (por exemplo, para unified2_extra_data) .unified2.parser.parser interface é melhor ilustrado pela função unified2.parser.read: analer, buff_agg = parser (), '' Enquanto True: Buff = Parser.read (SRC) Se não forff: break # eof buff_agg + = Buff Enquanto True: Buff_agg, EV = Parser.Process (Buff_agg) Se EV não é nenhum: quebrar o rendimento Evidea Aqui é que o método parser.read deve ser chamado com um fluxo (por exemplo, um objeto de arquivo), retornando no entanto muitos bytes parser ne eds para obter o próximo pedaço analisável de dados (um pacote, no caso do log do U2) ou tudo o que pode ser lido no momento, a seqüência vazia é geralmente uma indicação de eof ou talvez não bloqueio de leitura returness.Process então deve ser Chamado com buffer acumulado (por parser.read.read), retornando o primeiro pacote que pode ser analisado a partir daí (ou nenhum, se o buffer não for grande o suficiente) e restante (não parsed) tampão de tampão.
Unified2. Software Relacionado
