- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
[SIZE=14pt]Приветствую, хакеры! В данной небольшой статье хочу рассказать о том, как парсить логи [/SIZE][SIZE=14pt]WAF[/SIZE] [SIZE=14pt]ModSecurity[/SIZE][SIZE=14pt]. modsecurity parser – это python программа для чтения modsecurity.org modsec_audit.log, преобразования прочитанных событий в более человеко и машиночитаемые форматы (xlsx/json) и построения основных диаграмм. [/SIZE]
[SIZE=18pt]Список функциональных возможностей: [/SIZE]
[SIZE=18pt]Установка [/SIZE]
[SIZE=14pt]Для работы программы требуется как минимум Python 3.5.2 с дополнительными библиотеками: [/SIZE]
[SIZE=14pt] pip3 install -r requirements.txt[/SIZE]
[SIZE=14pt]Основное[/SIZE] [SIZE=14pt]использование[/SIZE]
[SIZE=14pt] python3 modsecurity-parser.py -f /home/user/logs/modsec_audit.log[/SIZE]
[SIZE=14pt]В этом случае результаты будут записаны в подкаталог “modsec_output“, куда помещается лог для анализа. [/SIZE]
[SIZE=14pt]Запуск через Docker [/SIZE]
[SIZE=14pt]Создайте подпапку (например, “modseclogs”) и поместите в нее несколько логов аудита modsecurity (по умолчанию обрабатывается только имя modsec_audit.log). [/SIZE]
[SIZE=14pt]Выходные файлы будут созданы внутри ${subfolder}/modsec_output [/SIZE]
[SIZE=14pt] docker run --rm -ti --mount type=bind,source="$(pwd)"/modseclogs,target=/opt/mounted molu8bits/modsecurity-parser:latest[/SIZE]
[SIZE=14pt]Получите еще несколько вариантов для Docker:[/SIZE]
[SIZE=14pt] docker run --rm -ti -e HELP=Yes molu8bits/modsecurity-parser:latest[/SIZE]
[SIZE=14pt]В результате парсинге вы получите три файла: json,lsx и png:[/SIZE]
[SIZE=14pt]Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.[/SIZE]
[SIZE=18pt]Список функциональных возможностей: [/SIZE]
- [SIZE=14pt]JSON файл с форматированием, соответствующим JSON логированию, добавленному в Modsecurity 2.9[/SIZE]
- [SIZE=14pt]Выходной файл XLSX, который может быть проанализирован с помощью настольных инструментов[/SIZE]
- [SIZE=14pt]PNG файл с некоторыми основными диаграммами – временная шкала неблокированных и перехваченных событий, TOP10 IP-адресов[/SIZE]
- [SIZE=14pt]источников, TOP20 идентификаторов правил, TOP10 перехваченных атак. [/SIZE]
[SIZE=18pt]Установка [/SIZE]
[SIZE=14pt]Для работы программы требуется как минимум Python 3.5.2 с дополнительными библиотеками: [/SIZE]
- [SIZE=14pt]Pandas 0.22[/SIZE]
- [SIZE=14pt]Pillow[/SIZE]
- [SIZE=14pt]matplotlib 2.1.2[/SIZE]
- [SIZE=14pt]numpy 1.13.1[/SIZE]
- [SIZE=14pt]openpyxl 2.4.0 [/SIZE]
[SIZE=14pt] pip3 install -r requirements.txt[/SIZE]
[SIZE=14pt]Основное[/SIZE] [SIZE=14pt]использование[/SIZE]
[SIZE=14pt] python3 modsecurity-parser.py -f /home/user/logs/modsec_audit.log[/SIZE]
[SIZE=14pt]В этом случае результаты будут записаны в подкаталог “modsec_output“, куда помещается лог для анализа. [/SIZE]
[SIZE=14pt]Запуск через Docker [/SIZE]
[SIZE=14pt]Создайте подпапку (например, “modseclogs”) и поместите в нее несколько логов аудита modsecurity (по умолчанию обрабатывается только имя modsec_audit.log). [/SIZE]
[SIZE=14pt]Выходные файлы будут созданы внутри ${subfolder}/modsec_output [/SIZE]
[SIZE=14pt] docker run --rm -ti --mount type=bind,source="$(pwd)"/modseclogs,target=/opt/mounted molu8bits/modsecurity-parser:latest[/SIZE]
[SIZE=14pt]Получите еще несколько вариантов для Docker:[/SIZE]
[SIZE=14pt] docker run --rm -ti -e HELP=Yes molu8bits/modsecurity-parser:latest[/SIZE]
[SIZE=14pt]В результате парсинге вы получите три файла: json,lsx и png:[/SIZE]
[SIZE=14pt]Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.[/SIZE]