Dead Packets

24/05/2010

Análise de sessões do ScreenOS via CLI

Filed under: dicas e truques,ScreenOs — drak @ 6:25 PM

Continuando o post anterior sobre análise de sessões em firewalls Netscreen/Juniper, uma vez que nós já conseguimos filtrar apenas o que é importante do log de sessões agora basta organizar, o jeito elegante de fazer isso seria juntar os dois scripts em apenas um só que fizesse as duas funções porém como eu não tenho habilidade nenhuma em perl mas quero conseguir analizar isto HOJE, segue o shell script que eu criei para organizar as informações obtidas com o parser anterior.

Para usar o nss_analyzer.sh basta rodar ele e dar como argumento o arquivo de sessões “cru”, o script nse2csv.pl deve estar na mesma pasta. Você pode indicar um segundo argumento para definir o número de “TOP” itens irão aparecer, por padrão são exibidos os 10 TOP de cada categoria.

Um item importante que deixei de lado nestes scripts foi o número do protocolo, mas se algum dia eu realmente precisar a modificação é bem trivial.

nss_analyzer.sh

#!/bin/sh
# Analise de IPs
sample=$1
top=$2
: ${top:="10"}

#ORIGEM
echo "TOP $top IPs de ORIGEM"
cat $sample | nse2csv.pl | cut -d"," -f1 | sort | uniq -c | sort -nr | head -n$top
echo

#DESTINO
echo "TOP $top IPs de DESTINO"
cat $sample | nse2csv.pl | cut -d"," -f2 | sort | uniq -c | sort -nr | head -n$top
echo

#PORTA
echo "TOP $top Portas de DESTINO"
cat $sample | nse2csv.pl | cut -d"," -f3 | sort | uniq -c | sort -nr | head -n$top
echo

#FLUXOS
echo "TOP $top Fluxos"
cat $sample | nse2csv.pl | sort | uniq -c | sort -nr | head -n$top
Anúncios

1 Comentário »

  1. […] Análise de sessões do ScreenOS via CLI Deixe um comentário […]

    Pingback por Artigo na Stay Safe – Análise de sessões com Afterglow « Dead Packets — 21/08/2010 @ 9:16 AM | Responder


RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: