Jeg er på ingen måde en programmør, men jeg ville elske at lære. Problemet er, jeg har et reelt problem, der har brug for et script ASAP.

Jeg har brug for at skrive et script, der kan parse en logfile og trække sig ud unikke IP-adresse fra kildeadresse kolonnen og oprette en fil med navnet på den ip adresse som filnavn. Så når en destination IP-adresser kampe kilden adressen på en fil det føjer, at unik destination adresse og portnummer til denne fil.

Så hvad im prøver at gøre, er at oprette en fil for hver inficeret computer og append inde filen alle værter de forsøger at inficere.

Her er et uddrag af logfile.

-------------------------------------------------- ---------------------
2007-08-30 11:31:52, Syslog.Info, 10.254.5.164, "26838: Aug 30 11:31:50:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.5.167.246 (4086) -> 10.184 .232.130 (1433), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 10.254.6.24, "432042: PIK-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.253.220.42 (1509 ) -> 10.25.50.154 (1433), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 10.254.3.176, "492962: lco-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.3.179.232 (2661 ) -> 10.45.253.12 (1433), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240, "4841:. August 30 11:31:52:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.253.218.171 (1532) -> 10.246.248.36 (1433), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240, "4842:. August 30 11:31:53:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.253.218.171 (1564) -> 10.25.5.144 (1433), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 172.20.7.13, "495539: ba2-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.253.221.172 (2346 ) -> 10.30.165.137 (445), 1 pakke "
2007-08-30 11:31:52, Syslog.Info, 10.254.0.244, "473266: NAC-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: liste 199 nægtes tcp 10.0.247.183 (3230 ) -> 10.155.217.188 (1433), 1 pakke "

ikke antage, vi alle kender strukturen i din logfil ....
hvad er den kilde, og hvad der er den destination adresser i given prøve?
givet et indsendt prøve log, hvad der er den ønskede effekt?

Beklager god punkt.

Efter "liste 199 nægtet" den første IP-adresse er den kilde, og den 2. IP-adresse er destinationen.

produktionsgabet im leder efter, er en fil, der oprettes for hver unikke "kilde" og en append til denne fil for hver destination, der passer til hver enkelt kilde.

Så langt jeg er nået frem til denne, men ikke fungerer.

#! / bin / ksh
PATH \u003d $ PATH
vDIR_OUT \u003d / cygdrive / c / tmp
vLOG_OUT \u003d $ (vDIR_OUT) / ipmon.out
vSYSLOG \u003d / cygdrive / v / Routers.txt
vSYSLOG_OUT \u003d $ (vDIR_OUT) / syslog.log.new
vCOUNTER_FILE \u003d $ (vDIR_OUT) / counter.out

eksport PATH vDIR_OUT vLOG_OUT vSYSLOG_OUT vCOUNTER_FILE AFSLUTTENDE


#############################################
# # Opret en tæller for at få kun de nye
# # Linjer fra syslog.log.
#############################################

# print "\ nStarting Counter, vær tålmodig ... \ n"

# ENDEL \u003d $ (cat $ (vCOUNTER_FILE))
# typeset-i start \u003d 0
#
# cat $ (vSYSLOG) | mens læse vLINE
# gøre
# ((Start \u003d START +1))
# hvis [[$ (START)-gt $ (final)]]
# derefter
# # print "$ (vLINE)"
# fi
# gjort> "$ (vSYSLOG_OUT)"
# print "$ (START)" #> "$ (vCOUNTER_FILE)"

#################################
# # Nu indsamle nye data i
# # En mappe for hver IP-adresse.
#################################

awk '/ tcp / & &! / awk / (printf ( "% s% s \ n", $ (NF-4), $ (NF-2)))' $ (vSYSLOG_OUT) | sort-u> $ (vLOG_OUT ) 2> & 1
mens læse-r VIP
gøre
vSOURCE_IP \u003d $ (print $ (VIP) | awk-F "(" '(print $ 1)')
[! -d $ (vSOURCE_IP)] & & mkdir $ (vSOURCE_IP)
[-D $ (vSOURCE_IP)] & & print "Folder $ (vSOURCE_IP) findes allerede"
print "tilføjer $ (VIP) til $ (vSOURCE_IP)"
print "$ (VIP)" | awk-F, '(print $ 1, $ 2)'>> $ (vSOURCE_IP) / $ (vSOURCE_IP). txt
gjort <$ (vLOG_OUT)