 | Unified2.Unified2 IDS-Binärprotokollat-Parser |
| Jetzt downloaden | |
Unified2. Ranking & Zusammenfassung
Anzeige
Unified2. Stichworte
Unified2. Beschreibung
Unified2 ist ein Pure-Python-Parser für IDs (denken (http://snort.org)) Unified2 Binary Log Format.Module Ermöglicht das Verarbeiten von IDS-Protokollen im binären "Unified2" -Format in Python-Objekten. Es löst die Regel nicht auf. IDs und dient nicht als Ersatz für den TEARNYARD2 oder senken sich in dieser Rolle. In diesem Zweck besteht darin, ein Paketdaten aus dem Protokoll zu extrahieren, das mit einigen ausgewiesenen Angaben zugeordnet ist (und über andere Weise gelöst / gelöst / protokolliert über andere Weise, z. B. Alert_SYSLOG oder Alert_CSV Snort Module) Regel, also habe ich nicht viel Aufmerksamkeit für die Verarbeitung von Ereignis metadata.module hat keine C-Komponenten und verwendet keine Ctypes, daher sollte die Definition von nicht-cpython-Sprach-Implementierungen ziemlich tragbar sein. FormatFormat-Definition wird von Snort-Header abgeleitet (src / sfutil / Unified2_Common.h) über das Pycribrary-Modul und werden in Unified2 / _Format.py file.newer-Definitionen zwischengespeichert (sagen, wenn neue Datentypen hinzugefügt wurden) erstellt werden können, indem das gleiche Skript auf dem Unified2_Common.h des Snorts ausgeführt wird: BZR-Zweig LP: Pycribrary CD Pyclibrary Python ... / Unified2 / _Format.py ... / snort-2.xyz/src/sfutil/unified2_common.hinstallationIt ist ein reguläres Paket für Python 2.7 (nicht 3.x) .USE-PIP ist der beste Weg:% PIP-Installation Unified2In Sie haben nicht Python% PIP installieren Unified2or, wenn Sie absolut Muss:% Easy_install Unified2But2But, sollten Sie wirklich nicht tun. /unified2.git#egg=uified2'StaGeseimple Beispiel: Import Unified2.Parser für eV, EV_Tail in Unified2.parser.parse ('/ var / log / snort / snort.u2.13337060186'): drucken 'Event:', eV Wenn EV_Tail: "Ereignisschwanz drucken:", EV_Tailevent-Objekt hier ein Diktieren von Metadaten und einem "Schwanz", der entweder ein Blob oder ein ähnliches rekursives Tupel von Metadata-Diktat und "Schwanz" (z. B. für Unified2__Extra_Data) sein kann .unified2.parser.parser-Schnittstelle wird am besten von der Unified2.parser.Read-Funktion dargestellt: Parser, Buff_AGG = PARSER (), '' Während TRUE: Buff = Parser.Read (SRC), wenn nicht Buff: Pause # EOF Buff_agg + = Buff während TRUE: Buff_AGG, EV = PARSER.PROCESS (BUFF_AGG) Wenn eV keine ist: Break-Ertrag EVIDEA Hier sollte die PARSER.Read-Methode mit einem Stream (z. B. ein Dateiobjekt) aufgerufen werden, wodurch jedoch viele Bytes-Parser NE zurückgegeben werden EDS, um den nächsten Parsable-Chunk-Daten (ein Paket, bei U2-Protokoll) oder was auch immer gelesen werden kann, eine leere Zeichenfolge ist in der Regel ein Hinweis auf EOF oder vielleicht nicht blockierender Leserückgabe.Parser.Prozess sollte dann sein Mit angesammeltem Puffer (per PARser.Lead-Anrufe) aufgerufen, wobei das erste Paket zurückgibt, das von dort analysiert werden kann (oder nicht, wenn der Puffer nicht groß genug ist) und verbleibende (nicht analysierte) Puffer-Data.product-Homepage
Unified2. Zugehörige Software
