unified2

Phần mềm chụp màn hình:
unified2
Các chi tiết về phần mềm:
Phiên bản: 12.07.0
Ngày tải lên: 20 Feb 15
Nhà phát triển: Mike Kazantsev
Giấy phép: Miễn phí
Phổ biến: 5
Tải về

Rating: 4.0/5 (Total Votes: 1)

unified2 là một phân tích cú pháp Python tinh khiết cho IDS (nghĩ [Snort] (http://snort.org)) unified2 định dạng bản ghi nhị phân.
Mô-đun cho phép xử lý các bản ghi IDS trong hệ nhị phân "unified2" định dạng vào đối tượng python.
Nó không giải quyết ids quy tắc và không có nghĩa là một sự thay thế cho barnyard2 hoặc Snort bản thân trong vai trò đó.
Mục đích chính là để trích xuất dữ liệu gói từ nhật ký, liên quan đến một số đặc biệt gây ra (và giải quyết / đăng nhập riêng biệt thông qua các phương tiện khác, ví dụ như alert_syslog hoặc alert_csv module snort) quy định, vì vậy tôi đã không chú ý nhiều đến siêu dữ liệu sự kiện xử lý.
Module không có thành phần C và không sử dụng ctypes, vì vậy nên được khá di động để triển khai thực hiện ngôn ngữ CPython không.
Format
Định nghĩa định dạng có nguồn gốc từ Snort tiêu đề (src / sfutil / Unified2_common.h) thông qua mô-đun pyclibrary và được lưu trữ trong unified2 / _format.py file.
Định nghĩa mới hơn (nói, nếu kiểu dữ liệu mới đã được thêm vào) có thể được tạo ra bằng cách chạy các kịch bản tương tự trên Unified2_common.h của Snort:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Chi nhánh bzr lp: pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; cd pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; python ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
Cài đặt
Đó là một gói phần mềm thường xuyên cho Python 2.7 (không 3.x).
Sử dụng pip là cách tốt nhất:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip cài đặt unified2
Nếu bạn không có nó, sử dụng:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install pip
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip cài đặt unified2
Ngoài ra cũng xem:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Curl https://raw.github.com/pypa/pip/master/contrib/get-pip.py | python
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip cài đặt unified2
Hoặc, nếu bạn hoàn toàn phải:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install unified2
Tuy nhiên, bạn thực sự không nên làm điều đó.
Current-git phiên bản có thể được cài đặt như thế này:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Pip cài đặt -e 'git: //github.com/mk-fg/unified2.git#egg=unified2'
Cách sử dụng
Ví dụ đơn giản:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; unified2.parser nhập khẩu
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; cho ev, ev_tail trong unified2.parser.parse ('/ var / log / snort / snort.u2.1337060186'):
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; print 'sự kiện:', ev
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; nếu ev_tail: print 'Event đuôi:', ev_tail
Đối tượng tổ chức sự kiện ở đây là một dict của siêu dữ liệu và một "đuôi", mà có thể là một blob hoặc một bộ phân tích cú pháp đệ quy tương tự của siêu dữ liệu-dict và "đuôi" (ví dụ như cho UNIFIED2_EXTRA_DATA).
giao diện unified2.parser.Parser tốt nhất được minh họa bằng các chức năng unified2.parser.read:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; phân tích cú pháp, buff_agg = Parser (), ''
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; trong khi True:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; Buff = parser.read (src)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; nếu không lau bóng: phá vỡ # EOF
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff_agg + = da bò
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; trong khi True:
                        buff_agg, ev = parser.process (buff_agg)
                        nếu ev là None: nghỉ
                        năng suất ev
Ý tưởng ở đây là phương pháp Parser.read nên được gọi với một dòng (ví dụ như một đối tượng file), quay trở lại tuy nhiên nhiều byte phân tích cú pháp cần để có được những đoạn parseable tiếp theo của dữ liệu (một gói tin, trong trường hợp của u2 log) hay bất cứ điều gì có thể được đọc tại thời điểm này, chuỗi rỗng thường là một dấu hiệu của EOF hoặc có thể không chặn trở lại đọc.
Parser.process sau đó nên được gọi với tích lũy (bởi Parser.read gọi) đệm, trả lại gói tin đầu tiên mà có thể được phân tích từ đó (hoặc None, nếu đệm là không đủ lớn) và dữ liệu (phân tích cú pháp không) đệm còn lại.

Yêu cầu :

  • Python

20 Feb 15 Trong Tiện ích hệ thống, Phần mềm giám sát

Phần mềm tương tự

zc.monitor
zc.monitor

14 Apr 15

GNOME System Monitor
GNOME System Monitor

16 Aug 18

collectd
collectd

22 Jun 18

imsniff
imsniff

3 Jun 15

Phần mềm khác của nhà phát triển Mike Kazantsev

graphite-metrics
graphite-metrics

20 Feb 15

python-onedrive
python-onedrive

12 Apr 15

django-unhosted
django-unhosted

20 Feb 15

aura
aura

20 Feb 15

Ý kiến ​​để unified2

Bình luận không
Nhập bình luận
Bật hình ảnh!
Tìm kiếm theo chủ đề
Phần mềm phổ biến