unified2是一个纯粹的Python解析器IDS(想想[Snort的](http://snort.org))unified2二进制日志格式。
模块可以处理二进制“unified2”格式IDS日志为Python对象。
它不能解决规则ID,并不意味着要取代barnyard2或Snort的本身的作用。
主要目的是提取日志分组数据,与一些特定的触发相关规则(和解决/通过其他方式,如alert_syslog或alert_csv哼模块单独记录),所以我也没有很重视处理事件的元数据。
模块没有C组分,并且不使用ctypes的,所以应该是相当移植到非CPython的语言实现。
格式
格式定义是从Snort的报头(SRC / sfutil / Unified2_common.h)通过pyclibrary模块派生并缓存在unified2 / _format.py文件。
较新的定义(例如,如果加入新的数据类型)可通过运行在Snort的Unified2_common.h同一脚本生成:
        BZR分公司LP:pyclibrary
        CD pyclibrary
       蟒蛇... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
安装
这是一个普通的包的Python 2.7(不3.X)。
使用PIP是最好的方法:
        %PIP安装unified2
如果没有它,使用方法:
        %的easy_install点子
        %PIP安装unified2
另外也见:
        %卷曲https://raw.github.com/pypa/pip/master/contrib/get-pip.py |蟒蛇
        %PIP安装unified2
或者,如果你绝对必须:
        %easy_install的unified2
但是,你真的不应该这样做。
目前,Git版本可以安装这样的:
        PIP%安装-e'混帐://github.com/mk-fg/unified2.git#egg=unified2“
用法
简单的例子:
       进口unified2.parser
       为EV,ev_tail在unified2.parser.parse('/无功/日志/鼻息/ snort.u2.1337060186'):
               打印“事件:”,EV
               如果ev_tail:打印“事件尾巴:”,ev_tail
事件对象这里是元数据的字典和一个“尾巴”,它可以是一个BLOB或元数据字典中类似的递归解析的元组和“尾”(例如UNIFIED2_EXTRA_DATA)。
unified2.parser.Parser接口被最佳地示出由unified2.parser.read功能:
       解析器buff_agg =分析器()“,”
       而真正的:
                BUFF = parser.read(SRC)
               如果不是浅黄色:打破#EOF
                buff_agg + =的buff
               而真正的:
buff_agg,EV = parser.process(buff_agg)
如果EV是无:突破
产量EV
想法这里是Parser.read方法应被调用以流(例如,一个文件对象),返回然而许多字节分析器需要获得数据的下一个可解析块(一个分组,如果U2日志),或者任何可以被读目前,空字符串通常是EOF也许非阻塞读回报的指示。
Parser.process然后应该被称为与积累(通过Parser.read调用)缓冲液,返回可从那里被分析的第一个分组(或无,如果缓冲器不是足够大)和剩余的(非解析)缓冲的数据。
要求:
- 在Python中
评论没有发现