Jest to polecenie nf2csv, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
nf2csv - iptables do danych CSV
STRESZCZENIE
nf2csv [opcje]
OPIS
nf2csv Analizuje komunikaty dziennika iptables i generuje dane w formacie wartości oddzielonych przecinkami.
Jest to przydatne do wprowadzania danych do pliku Poświata projekt (patrz
http://afterglow.sourceforge.net), aby dzienniki iptables można było wizualizować graficznie. Jakiś
ciekawe zastosowanie nf2csv oraz Poświata jest parsowanie i wizualizacja iptables
logów udostępnionych przez projekt Honeynet w wyzwaniach Skanowania Miesiąca.
Wyzwania Scan30 i Scan34 (zob http://www.honeynet.org/scans/scan30/ oraz
http://www.honeynet.org/scans/scan34/) zawierają obszerne pliki dziennika iptables i niektóre
ich graficzne reprezentacje można obejrzeć tutaj:
http://www.cipherdyne.org/psad/honeynet/, psad program ma również możliwość
generuj dane CSV z dzienników iptables za pomocą jego --CSV tryb.
OPCJE
-f, --pola
Określ zestaw pól, które mają być drukowane z komunikatów dziennika iptables. The
najczęstszym zastosowaniem tego argumentu jest SRC STD DPT aby wydrukować źródło i
docelowe adresy IP, po których następuje numer portu docelowego. Dostępny
pola do wydruku to: SRC, SPT, DST, DPT, PROTO, LEN, IN, TOS, TTL, SEQ, ID,
TYP, KOD (i można je również określać jako src, dst, sp, dp, proto, ip_len,
intf, tos i ttl). Istnieje kilka dodatkowych pól, które nie są podane
określone znaczniki w komunikatach dziennika iptables, które można uwzględnić, określając
jedno z następujących: flags, top_opts, ip_opts, chain, log_prefix, frag_bit,
src_mac, dst_mac i udp_len. Każde z tych pól akceptuje kryteria wyszukiwania w
postać porównania numerycznego, dopasowania łańcuchowego lub dopasowania IP. Zobacz PRZYKŁADY
sekcja poniżej, aby uzyskać więcej informacji.
-u, --unikatowe linie
Drukuj tylko unikalne linie wyjściowe. Może to drastycznie zmniejszyć wydajność nf2csv
w zależności od charakterystyki analizowanego pliku dziennika iptables.
-m, --max-linie
Określ maksymalną liczbę linii wyjściowych nf2csv wygeneruje. to jest przydatne
za przekazanie ograniczonego zestawu danych do AfterGlow w celu wykonania wizualizacji
bardziej przejrzysty i mniej zaśmiecony.
-r, --wyrażenie regularne
Określ wyrażenie regularne, które musi pasować do całego dziennika iptables
wiadomość, aby została uwzględniona w pliku wyjściowym CSV. Pozwala to na logowanie
komunikaty, które mają być dołączone z wyjścia z całą elastycznością zwykłego
wyrażenia. Zobacz sekcję PRZYKŁADY poniżej, aby uzyskać więcej informacji.
-n, --neg-regex
Określ wyrażenie regularne, które nie może pasować do komunikatu dziennika iptables
w celu uwzględnienia go w danych wyjściowych CSV. Dzięki temu komunikaty dziennika mogą być
zostać wykluczone z wyjścia z całą elastycznością wyrażeń regularnych.
Zobacz sekcję PRZYKŁADY poniżej, aby uzyskać więcej informacji.
-s, --linia startowa
Określ linię początkową gdzie nf2csv zaczyna przetwarzać dane dziennika iptables. Jeśli ty
przetwarzają ogromny plik z tysiącami komunikatów dziennika iptables, które może ta opcja
przydać się do przeanalizowania określonej porcji tych danych. Zobacz także --koniec linii opcja
poniżej.
-e, --koniec linii
Określ ostatni wiersz danych dziennika iptables, który nf2csv przeanalizuje.
PRZYKŁADY
Poniższe przykłady ilustrują argumenty wiersza poleceń, które można podać
nf2csv w kilku sytuacjach:
Drukuj adresy IP źródła i miejsca docelowego oraz numer portu docelowego:
$ nfcsv -f src dst dp
To samo co powyżej, ale teraz wymaga, aby źródłowy adres IP pochodził z podsieci 11.11.11.0/24:
$ nfcsv -f źródło: 11.11.11.0/24 dst dp
Wyświetl instancje robaka MyDoom:
$ nfcsv -f src dst DP:3127
Wyświetl pakiety, które mają niskie wartości TTL:
$ nfcsv -f src dst ttl:<10
Wyświetl cały ruch do lub z hosta 11.11.11.67 (konfiguruje to warunek LUB między
pola src i dst):
$ nfcsv -f src dst dp -r 11.11.11.67
Wyświetl prawdopodobne przypadki prób wyskakujących okienek programu Windows Messanger (zwróć uwagę na użycie rozszerzenia
--regex argument, aby wymagać minimalnych długości w polu długości UDP i porcie źródłowym, ale
dane wyjściowe zawierają port docelowy 1026):
$ nfcsv -f src dst dp -r SPT={4}.*DŁ=[4-9]{2}
Korzystaj z nf2csv online, korzystając z usług onworks.net
