Ini ialah arahan nf2csv yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
nf2csv - iptables kepada data CSV
SINOPSIS
nf2csv [pilihan]
DESCRIPTION
nf2csv Menghuraikan mesej log iptables dan menjana data berformat nilai yang dipisahkan koma.
Ini berguna untuk memberikan input kepada AfterGlow projek (lihat
http://afterglow.sourceforge.net) jadi log iptables boleh divisualisasikan secara grafik. An
aplikasi yang menarik nf2csv and AfterGlow adalah untuk menghuraikan dan menggambarkan iptables
fail log yang disediakan oleh projek Honeynet dalam cabaran Scan of the Month mereka.
Cabaran Scan30 dan Scan34 (lihat http://www.honeynet.org/scans/scan30/ and
http://www.honeynet.org/scans/scan34/) mengandungi fail log iptables yang luas, dan beberapa
perwakilan grafik ini boleh dilihat di sini:
http://www.cipherdyne.org/psad/honeynet/. Yang psad program juga mempunyai keupayaan untuk
menjana data CSV daripada log iptables dengannya --CSV mod.
PILIHAN
-f, --bidang
Tentukan set medan yang harus dicetak daripada mesej log iptables. The
penggunaan yang paling biasa bagi hujah ini ialah SRC PCB DPT untuk mencetak sumber dan
alamat IP destinasi, diikuti dengan nombor port destinasi. Tersedia
medan untuk dicetak termasuk: SRC, SPT, DST, DPT, PROTO, LEN, IN, TOS, TTL, SEQ, ID,
JENIS, KOD (dan ini juga boleh dirujuk sebagai src, dst, sp, dp, proto, ip_len,
intf, tos, dan ttl). Terdapat beberapa medan tambahan yang tidak diberikan
tag tertentu dalam mesej log iptables, dan ini boleh disertakan dengan menentukan
salah satu daripada yang berikut: bendera, pilihan_atas, pilihan_ip, rantai, awalan_log, frag_bit,
src_mac, dst_mac, dan udp_len. Setiap medan ini menerima kriteria carian dalam
bentuk perbandingan berangka, padanan rentetan atau padanan IP. Lihat CONTOH
bahagian di bawah untuk maklumat lanjut.
-u, --garisan-unik
Hanya cetak baris keluaran unik. Ini boleh mengurangkan pengeluaran secara drastik nf2csv
bergantung pada ciri-ciri fail log iptables yang sedang dihuraikan.
-m, --garis-maks
Nyatakan bilangan maksimum baris keluaran nf2csv akan menjana. Ini berguna
untuk menyediakan set data terhad kepada AfterGlow untuk membuat visualisasi
lebih jelas dan kurang bersepah.
-r, --regex
Tentukan ungkapan biasa yang mesti sepadan dengan keseluruhan log iptables
mesej agar ia boleh disertakan dalam output CSV. Ini membolehkan log
mesej untuk disertakan daripada output dengan semua fleksibiliti biasa
ungkapan. Lihat bahagian CONTOH di bawah untuk mendapatkan maklumat lanjut.
-n, --neg-regex
Tentukan ungkapan biasa yang mesti tidak sepadan dengan mesej log iptables
supaya ia boleh dimasukkan dalam output CSV. Ini membolehkan mesej log untuk
dikecualikan daripada output dengan semua fleksibiliti ungkapan biasa.
Lihat bahagian CONTOH di bawah untuk mendapatkan maklumat lanjut.
-s, --garisan permulaan
Nyatakan garisan permulaan di mana nf2csv mula memproses data log iptables. Jika awak
sedang memproses fail besar dengan beribu-ribu mesej log iptables pilihan ini boleh
berguna untuk menghuraikan sebahagian tertentu data ini. Juga lihat --garisan akhir pilihan
di bawah.
-e, --garisan akhir
Nyatakan baris terakhir data log iptables yang nf2csv akan menghuraikan.
CONTOH
Contoh berikut menggambarkan hujah baris arahan yang boleh dibekalkan kepada
nf2csv dalam beberapa situasi:
Cetakan sumber dan alamat IP destinasi serta nombor port destinasi:
$ nfcsv -f src DST dp
Sama seperti di atas, tetapi kini memerlukan IP sumber datang daripada subnet 11.11.11.0/24:
$ nfcsv -f src:11.11.11.0/24 DST dp
Paparkan contoh cecacing MyDoom:
$ nfcsv -f src DST dp:3127
Paparkan paket yang mempunyai nilai TTL yang rendah:
$ nfcsv -f src DST ttl:<10
Paparkan semua trafik ke atau dari hos 11.11.11.67 (ini menyediakan keadaan ATAU antara
medan src dan dst):
$ nfcsv -f src DST dp -r 11.11.11.67
Paparkan kemungkinan contoh percubaan spam pop timbul Window Messanger (perhatikan penggunaan fail
--regex argumen untuk memerlukan panjang minimum pada medan panjang UDP dan port sumber, tetapi
output mengandungi port destinasi 1026):
$ nfcsv -f src DST dp -r SPT={4}.*LEN=[4-9]{2}
Gunakan nf2csv dalam talian menggunakan perkhidmatan onworks.net
