Перейти к содержимому



Фотография
  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 roguevad

roguevad

    Эксперт.

  • Пользователи
  • PipPipPipPipPip
  • 446 сообщений

Отправлено 28 Май 2022 - 14:38

Приветствую, хакеры! В данной небольшой статье хочу рассказать о том, как парсить логи WAF ModSecurity. modsecurity parser – это python программа для чтения modsecurity.org modsec_audit.log, преобразования прочитанных событий в более человеко и машиночитаемые форматы (xlsx/json) и построения основных диаграмм. 

Список функциональных возможностей: 

  • JSON файл с форматированием, соответствующим JSON логированию, добавленному в Modsecurity 2.9
  • Выходной файл XLSX, который может быть проанализирован с помощью настольных инструментов
  • PNG файл с некоторыми основными диаграммами – временная шкала неблокированных и перехваченных событий, TOP10 IP-адресов
  • источников, TOP20 идентификаторов правил, TOP10 перехваченных атак. 

 

Установка 

Для работы программы требуется как минимум Python 3.5.2 с дополнительными библиотеками: 

  • Pandas 0.22
  • Pillow
  • matplotlib 2.1.2
  • numpy 1.13.1
  • openpyxl 2.4.0 

Установите их с помощью команды: 

   pip3 install -r requirements.txt

 

Основное использование

   python3 modsecurity-parser.py -f /home/user/logs/modsec_audit.log

В этом случае результаты будут записаны в подкаталог “modsec_output“, куда помещается лог для анализа. 

 

Запуск через Docker 

Создайте подпапку (например, “modseclogs”) и поместите в нее несколько логов аудита modsecurity (по умолчанию обрабатывается только имя modsec_audit.log). 

Выходные файлы будут созданы внутри ${subfolder}/modsec_output 

   docker run --rm -ti --mount       type=bind,source="$(pwd)"/modseclogs,target=/opt/mounted molu8bits/modsecurity-parser:latest

Получите еще несколько вариантов для Docker:

   docker run --rm -ti -e HELP=Yes molu8bits/modsecurity-parser:latest

В результате парсинге вы получите три файла: json,lsx и png:

zgNp6cH.png

 

 

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.

 

 





Темы с аналогичным тегами взлом, взломщик, хакер, хакинг, парсинг логов, как парсить логи waf modsecurity, уязвимость, эксплойт, программа для парсинга, инструмент для парсинга, что такое парсинг


Яндекс.Метрика Top.Mail.Ru Analysis Счетчик ИКС
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal