 | Unified2Unified2 IDS Binary Log Format Parser |
| Download nu | |
Unified2 Rangschikking & Samenvatting
Advertentie
Unified2 Tags
Unified2 Beschrijving
Unified2 is een Pure-Python Parser voor ID's (Think (http://snort.org)) Unified2 Binary Log Format.module maakt het mogelijk om IDS-logs in binair "Unified2" -formaat in Python-objecten te verwerken. Het is niet op ID's en is niet bedoeld als een vervanging voor Barnyard2 of Snort zelf in die rol. Wedend doel is om een pakketgegevens uit het logboek te halen, geassocieerd met een bepaalde geactiveerde (en opgelost / ingelogd afzonderlijk via andere middelen, bijv. Alert_SYSLOG of ALERT_CSV Snort Modules) Regel, dus ik heb niet veel aandacht besteed aan het verwerken van gebeurtenis metadata.module heeft geen C-componenten en gebruikt geen cypertes, dus moet vrij draagbaar zijn voor niet-CPYTHON-taal-implementaties.Formatformat-definitie is afgeleid van snuifkoppen (SRC / SFUTIL / UNIFED2_COMMON.H) via Pyclibrary-module en worden in de cache in Unified2 / _Format.py-bestand.newer definities (zeg, als er nieuwe gegevenstypen zijn toegevoegd) kan worden gegenereerd door hetzelfde script op de Snort's Unified2_Common.h: BZR Branch LP: Pyclibrary CD Pyclibrary Python ... / Unified2 / _Format.py ... / Snort-2.xyz/src/sfutil/unified2_common.hinstallationit is een gewone pakket voor Python 2.7 (niet 3.x). Gebruik PIP is de beste manier:% PIP-installatie Unified2Als u niet hebt, gebruikt u:% Easy_Install PIP% PIP INSTALLEER UNIFED2ALNATIFIEF ZIE OOK:% Curl https://raw.github.com/pypa/pip/master/contrib/get-pip.py | Python% PIP Install Unified2or, als u absoluut moet:% Easy_Install Unified2But, moet u dat echt niet doen. Currentrent-git-versie kan als volgt worden geïnstalleerd:% PIP INSTALLING -E 'GIT: //github.com/mk-fg / ununified2.git#egg=unnified2'ussagesImple Voorbeeld: import unified2.parser voor EV, EV_tail in Unified2.Parser.parse ('/ Var / log / snort / snort.u2.1337060186'): Print 'Evenement:', EV Als EV_tail: Print 'Gebeurtenisstaart:', Ev_tailEvent-object is hier een dict van metadata en een "staart", die een blob is of een vergelijkbare recursief geparseerd tuple van metadata-dict en "staart" (bijvoorbeeld voor Unified2_Extra_Data) . unified2.parser.parser-interface kan het best worden geïllustreerd door de functie Unified2.parser.READ: Parser, Buff_agg = Parser (), '' '' '' '' '' '' Buff = Parser.read (SRC) Zo niet, pauze # EOF Buff_agg + = Buff True True: Buff_agg, EV = Parser.process (buff_agg) Als EV geen: break-opbrengst Evidea is hier is die Parser.Read-methode met een stroom (bijv. Een bestandsobject), wat echter veel bytes Parser Ne retourneert EDS om de volgende lastbare brok van gegevens te krijgen (één pakket, in het geval van U2-logboek) of wat er op dit moment kan worden gelezen, is de lege string meestal een indicatie van EOF of misschien niet-blokkering lees retourneer. Parser. Gebeld met Accumulated (door Parser.Read-oproepen) Buffer, die het eerste pakket terugkeert dat vanaf daar kan worden geparseerd (of geen, als buffer niet groot genoeg is) en resterende (niet-geparseerd) buffergegevens.Product's startpagina is
Unified2 Gerelateerde software
