linux+shell+脚本+过滤NetScreen防火墙日志

最新推荐文章于 2022-06-21 17:30:46 发布
原创 最新推荐文章于 2022-06-21 17:30:46 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙 #linux #脚本 #shell #dst #session

本文详细介绍了如何从Linux防火墙日志中提取关键信息,包括sent数据、recv数据、源地址和目标地址,并提供了相应的脚本进行操作。 
一直想学习linux,可是没得时间。前二天,中华财险要求二天现场支持,这二天的时间,看了一些学习资料。看到公司的防火墙日志,试着过滤一下。


防火墙日志如下:


2011-09-30 00:00:20     Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299  [Root]system-notification-00257(traffic): start_time="2011-09-30 00:01:05" duration=15 policy_id=103 service=http proto=6 src
 zone=Trust dst zone=Untrust action=Permit sent=2683 rcvd=766 src=10.100.1.43 dst=119.188.11.3 src_port=4048 dst_port=80 src-xlated ip=218.206.244.202 port=4679 dst-xlated ip=119.188.11.3 port=80 session_id=61727 reason=Close - AGE OUT<000>2011-09-30 00:00:20    
 Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299  [Root]system-notification-00257(traffic): start_time="2011-09-30 00:01:05" duration=15 policy_id=103 service=http proto=6 src zone=Trust dst zone=Untrust action=Permit sent=2674 rcvd=766
 src=10.100.1.43 dst=119.188.11.3 src_port=4045 dst_port=80 src-xlated ip=218.206.244.202 port=15311 dst-xlated ip=119.188.11.3 port=80 session_id=62271 reason=Close - AGE OUT<000>2011-09-30 00:00:20     Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299 
 [Root]system-notification-00257(traffic): start_time="2011-09-30 00:01:05" duration=15 policy_id=103 service=http proto=6 src zone=Trust dst zone=Untrust action=Permit sent=2645 rcvd=766 src=10.100.1.43 dst=119.188.11.3 src_port=4044 dst_port=80 src-xlated
 ip=218.206.244.202 port=14295 dst-xlated ip=119.188.11.3 port=80 session_id=59240 reason=Close - AGE OUT<000>2011-09-30 00:00:20     Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299  [Root]system-notification-00257(traffic): start_time="2011-09-30
 00:01:05" duration=15 policy_id=103 service=http proto=6 src zone=Trust dst zone=Untrust action=Permit sent=1485 rcvd=482 src=10.100.1.43 dst=119.188.11.3 src_port=4051 dst_port=80 src-xlated ip=218.206.244.202 port=13926 dst-xlated ip=119.188.11.3 port=80
 session_id=54785 reason=Close - AGE OUT<000>2011-09-30 00:00:20     Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299  [Root]system-notification-00257(traffic): start_time="2011-09-30 00:01:05" duration=15 policy_id=103 service=http
 proto=6 src zone=Trust dst zone=Untrust action=Permit sent=2682 rcvd=766 src=10.100.1.43 dst=119.188.11.3 src_port=4046 dst_port=80 src-xlated ip=218.206.244.202 port=13692 dst-xlated ip=119.188.11.3 port=80 session_id=60623 reason=Close - AGE OUT<000>2011-09-30
 00:00:20     Local0.Notice   10.2.0.254      ns50: NetScreen device_id=0019022004000299  [Root]system-notification-00257(traffic): start_time="2011-09-30 00:01:05" duration=15 policy_id=103 service=http proto=6 src zone=Trust dst zone=Untrust action=Permit
 sent=2605 rcvd=766 src=10.100.1.43 dst=119.188.11.3 src_port=4043 dst_port=80 src-xlated ip=218.206.244.202 port=13520 dst-xlated ip=119.188.11.3 port=80 session_id=62996 reason=Close - AGE OUT<000>


想获得每条日志的sent 数据,Recv数据,src源地址及dst目的地址,脚本如下:


#!/bin/sh


if [ ! -d /var/tmp ] ; then mkdir /var/tmpfi


if [ -e /var/tmp/sysn ] ; then  rm  /var/tmp/sysnfi


#$1为命令行的每一个参数,这里是防火墙日志的文件路经 


echo " awk { for(i=1;i<=NF;i++) { if( $i~ /sent/ ) print $i,i++,$i,i++,$i,i++,$i } } ' $1 | awk '{ print $1,$3,$5,$7 }'  >/var/tmp/sysn" echo -e "..................................."


#按照模式取出字符串 类似sent=1132 recv=3434 src=10.100.1.32 dst=211.138.24.66 


awk '{ for(i=1;i<=NF;i++) { if( $i~ /sent/ ) print $i,i++,$i,i++,$i,i++,$i } } ' $1 | awk '{ print $1,$3,$5,$7 }'  >/var/tmp/sysn if [ -e /var/tmp/sysnn ] ; then rm  /var/tmp/sysnnfi


 echo " sed 's/=/ /g' /var/tmp/sysn >/var/tmp/sysnn" echo -e "..................................."


#将=换成空格


sed 's/=/ /g' /var/tmp/sysn >/var/tmp/sysnn


if [ -e /var/tmp/sysnnn ] ; then rm /var/tmp/sysnnnfi


 echo "awk '{ sent[$6] += $2;Recv[$6] += $4 } END { for(i in sent) print i,"\t\t", sent[i],"\t\t",Recv[i] }' /var/tmp/sysnn >/var/tmp/sysnnn" echo -e "..................................."


#统计每个地址的sent和recv总数awk '{ sent[$6] += $2;Recv[$6] += $4 } END { for(i in sent) print i,"\t\t", sent[i],"\t\t",Recv[i] }' /var/tmp/sysnn >/var/tmp/sysnnn


if [ -e /var/tmp/sysnnnn ] ; then


 rm  /var/tmp/sysnnnn


fi


#按sent排序  cat /var/tmp/sysnnn | sort -n -r -k 2 | grep '^10\.'  >/var/tmp/sysnnnn 


/bin/echo -e "IP\t\t\tSend bytes(B)\t\tRecv bytes(B)\n====================================================================="


#命令行第二个参数,按recv排序


if [ "$2" = "recv" ] ; then    cat /var/tmp/sysnnnn | sort -n -r -k 3else  cat /var/tmp/sysnnnnfi


if [ -e /var/tmp/sysn ] ; then   rm /var/tmp/sysnfi


if [ -e /var/tmp/sysnn ] ; then rm /var/tmp/sysnnfi


if [ -e /var/tmp/sysnnn ] ; then  rm /var/tmp/sysnnnfi


if [ -e /var/tmp/sysnnnn ] ; then rm /var/tmp/sysnnnnfi


应用如下:


./syslogana  /usr/Syslog2011-09-30.txt    --按sent排序


或./syslogana  /usr/Syslog2011-09-30.txt 
recv   --按recv排序


[orcle@localhost ~]$ ./syslogana  /usr/Syslog2011-09-30.txt 


awk { for(i=1;i<=NF;i++) { if( ~ /sent/ ) print ,i++,,i++,,i++, } } ' Syslog2011-09-30.txt | awk '{ print Syslog2011-09-30.txt,,, }'  >/var/tmp/sysn................................... 


sed 's/=/ /g' /var/tmp/sysn >/var/tmp/sysnn...................................


awk '{ sent[] += ;Recv[] +=  } END { for(i in sent) print i,tt, sent[i],tt,Recv[i] }' /var/tmp/sysnn >/var/tmp/sysnnn...................................


IP                      Send bytes(B)           Recv bytes(B)=====================================================================10.2.0.195               389190206               3.21879e+0910.2.0.230               133985217              
 133386378710.2.0.240               86287521                50698167110.100.1.240             69406016                13480948610.2.0.249               56816187                14380941210.2.0.245               40095561                5869195010.2.0.228              
 36652824                18304863010.2.0.194               27172677                8062195710.2.0.252               23434488                9307896210.100.5.252             20701571                14683126610.2.0.241               18873421                65888402










                

        

    


  



    

      

        

            

              
                
                  shif_l
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
使用Shell脚本过滤NetScreen防火墙日志

				
			

			

				

					KgyDeveloper的博客
				

				

					10-07
					
					151
					
				

			

		

		

			
				
通过分析和过滤日志,我们可以获取有关网络活动的重要信息,以便进行安全分析和监控。在本文中,我们将介绍如何使用Linux Shell脚本过滤NetScreen防火墙日志,并提取所需的信息。通常,NetScreen防火墙日志以文本文件的形式存储,并包含多行日志记录。总结起来,使用Shell脚本可以方便地过滤NetScreen防火墙日志,并提取所需的信息。如果日志记录中包含源IP地址和目标端口号,我们将提取对应的字段,并打印出来。然后,在Shell中运行该脚本,它将读取日志文件并打印满足过滤条件的日志记录。

			
		

	



                

            
              



	

		

			

				
					
shell脚本实现: 过滤系统日志  把ssh登录失败次数过多者加入访问黑名单

				
			

			

				

					o_8_o的博客
				

				

					08-02
					
					1044
					
				

			

		

		

			
				
涉及知识点

wrappers是一个工作在传输层的安全工具,凡是调用了libwrap.so库文件的应用都受wrappers的访问控制。wrappers依赖/etc/hosts.allow和/etc/hosts.deny两个文件,wrappers会先检查/etc/hosts.allow白名单,然后检查/etc/hosts.deny黑名单。
查看应用程序是否受wrappers控制方法(以sshd应用...

			
		

	



              


  
              

                


	

		

			

				
					
shell: 过滤日志目录多个压缩文件 提取username字段 并去重

				
			

			

				

					yhtppp的专栏
				

				

					08-13
					
					401
					
				

			

		

		

			
				
好记性不如烂笔头,mark一下:)

场景:

1. 日志目录中,每200M会压缩日志文件

日志文件:auth.log.2021081201.1.gz

2. 需要过滤所有压缩日志文件,过滤如下结构行,提取出username,并去重

2021-08-13 10:13:30.898 [WARN ] [http-nio-8180-exec-13] [:] - clientid:d-1-11654987987987, username:11654987987987, token:ohSQE2b4J49fpW1

			
		

	





	

		

			

				
					
shell工作常用脚本,nginx过滤日志相关-nginx日志输出配置json格式

				
			

			

				

					jialiu111111的博客
				

				

					06-21
					
					1270
					
				

			

		

		

			
				
1.nginx查日志脚本首先查看日志每个值对应的意思,根据这个去查请求的ip地址。

			
		

	



		

			
		



	

		

			

				
					
shell编程之文本与日志过滤

				
			

			

				

					酒徒词客
				

				

					05-10
					
					1595
					
				

			

		

		

			
				
1:grep命令:
                     grep -v  "char"  file_name 匹配不包含"char"的文本
                     grep -n -w "char" file_name 完整匹配某个字符
                     grep ^s $s  分别为匹配行首为s的 或者行末为s的文本。
          

			
		

	





	

		

			

				
					
shell使用(1)筛选日志内容&重新执行删除操作

				
			

			

				

					zshsisi的博客
				

				

					08-31
					
					1237
					
				

			

		

		

			
				
shell脚本,查询某一时间段的所有log,筛选出所有删除成功的记录,提取记录中的ID,判断ID是否删除成功,并重新执行删除操作。

#!/bin/sh
file_base_front="indexing-2015-08-2";
file_base_mid="_";
file_base_end=".0.log";

out="./outlog/out;
# 也可以直接通过(for ofile in

			
		

	





	

		

			

				
					
2020年-Juniper+Netscreen+防火墙培训+防火墙的管理-2.pdf

				
			

			

				

					10-11
				

			

		

		

			
				
2020年-Juniper+Netscreen+防火墙培训+防火墙的管理-2.pdf

			
		

	





	

		

			

				
					
Juniper+Netscreen+防火墙培训PPT(基本概念+安全策略+管理+路由模式+透明模式).zip

				
			

			

				

					07-30
				

			

		

		

			
				
Juniper+Netscreen+防火墙培训PPT(基本概念+安全策略+管理+路由模式+透明模式)

			
		

	





	

		

			

				
					
Juniper+Netscreen+防火墙培训+安全策略大全

				
			

			

				

					04-27
				

			

		

		

			
				
Juniper+Netscreen+防火墙培训+安全策略大全

			
		

	





	

		

			

				
					
netscreen 防火墙常用命令

				
			

			

				

					06-20
				

			

		

		

			
				
Juniper Netscreen 常用防火墙命令,非常实用,很多防火墙基础功能命令

			
		

	





	

		

			

				
					
Linux 系统安装

				
			

			

				

					路虽远行则将至,事虽难做则必成
				

				

					03-27
					
					640
					
				

			

		

		

			
				
目标

1.RHEL7的安装
2.RHEL6.5的安装
3.虚拟机使用技巧


RHEL7介绍

红帽公司于2014年6月11日正式发布企业Linux 7版本,该版本在裸服务器、虚拟机、IaaS 和 PaaS 方面都得到了加强,更可靠以及更强大的数据中心环境可满足各种商业的要求。RHEL 7 为企业提供一个内聚的、统一的基础设施架构以及最新的服务环境,包括 Linux 容器、大数据以及跨

			
		

	





	

		

			

				
					
juniper防火墙端口映射

					
热门推荐

				
			

			

				

					zxs9999的专栏
				

				

					10-22
					
					1万+
					
				

			

		

		

			
				
今天和大家说juniper防火墙端口映射
也算自己的小小成就啦!我用的是juniper ssg 140 其实配置几乎都差不多!
好了废话不多说,现在就让我们开始吧!
 首先我们登陆到juniper防火墙控制界面 默认地址大家都知道(192.168.1.1)
默认用户和密码netsscreen
下面介绍登陆界面:



 

 
 
让我们开始配置吧
依次展开policy

			
		

	





	

		

			

				
					
子游标被age out或失效后,handler信息保留,heap内存已经被释放。

				
			

			

				

					cotchte0421的博客
				

				

					12-13
					
					224
					
				

			

		

		

			
				
1. 在游标存在多个child crusor时,结构如上图。有一个非常重要的结构上图没画出来,就是data blocks会指向heap堆,就是海波说的heap 6。
从你的实验清晰的看出child curs...

			
		

	





	

		

			

				
					
grok过滤规则--firewalld

				
			

			

				

					wzf862187413的博客
				

				

					04-12
					
					781
					
				

			

		

		

			
				
# NetScreen firewall logs
NETSCREENSESSIONLOG %{SYSLOGTIMESTAMP:date} %{IPORHOST:device} %{IPORHOST}: NetScreen device_id=%{WORD:device_id}%{DATA}: start_time=%{QUOTEDSTRING:start_time} duration=%{INT...

			
		

	





	

		

			

				
					
只输出匹配的模式--正则表达式的一个应用

				
			

			

				

					荣耀之路
				

				

					05-29
					
					2026
					
				

			

		

		

			
				
先看需要匹配的文件需求:
如下为防火墙日志,其中有字段service=http proto=6,如何输出service=http这个字段呢,service字段有可能包含好几个空格,并且不确定究竟会有几个,但是后面的字段肯定是proto,如何用awk模式匹配输出service这个字段呢?


			
		

	





	

		

			

				
					
syslog日志

				
			

			

				

					weixin_34037173的博客
				

				

					04-08
					
					579
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
netscreen session数不足的应对

				
			

			

				

					weixin_34380781的博客
				

				

					07-31
					
					359
					
				

			

		

		

			
				
550MSESSION数不足的应对:防火墙提供了一种主动失效机制,当会话表的使用达到一个高限值时(比如最大并发会话数的80%),缩短会话超时值,提前删除会话。当会话表的使用低于某个低限值时(比如最大并发会话数的60%),超时值恢复为默认值,超时进程恢复正常。主动失效机制将以设定的会话主动失效速率缩短默认的会话超时值,加速会话失效。失效速率值可在2~10个单位间选择(每个单位...

			
		

	





	

		

			

				
					
Grok patterns 汇总

				
			

			

				

					weixin_30390075的博客
				

				

					02-16
					
					695
					
				

			

		

		

			
				
S3_REQUEST_LINE (?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})S3_ACCESS_LOG %{WORD:owner} %{NOTSPACE:bucket} \[%{HTTPDATE:timestamp}\] %{IP:clientip} %{NOTSPAC...

			
		

	





	

		

			

				
					
新写了一个简单的日志监控shell脚本(之前的问题已经修复)

				
			

			

				

					mm18652536057的博客
				

				

					12-28
					
					8414
					
				

			

		

		

			
				
测试了一下 还是蛮好用的,语法比较入门 比较基础,改改路径 和过滤的关键字就能用了,相信很多刚开始学脚本的 都是能看得懂的.
注:发送邮件的服务器最好配置一下mailx这个功能,方便邮件正常发送。或者你有其他的配置方式。


#!/bin/bash
##收件人的邮箱
MAIL_USER=xxxxxxx@163.com
##为防止按小时或者按天切割的日志错过获取机会,将系统时间设置一个前5秒

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值