Ich bin in keiner Weise ein Programmierer, aber ich würde gerne zu lernen. Problem ist, habe ich ein echtes Problem, dass ein Skript muss so schnell wie möglich.

Ich muss ein Skript schreiben, dass ein Logfile parsen kann und ziehen Sie die eindeutige IP-Adresse aus der Spalte Quell-Adresse, und erstellen Sie eine Datei mit dem Namen der IP-Adresse als Dateiname. Dann, wenn eine Ziel-IP-Adressen mit der Quell-Adresse einer Datei hängt, dass es eindeutige Ziel-Adresse und den Port auf diese Datei.

Also, was im zu tun versuchen, ist eine Datei für jeden infizierten Computer und fügen Sie innerhalb der Datei alle Hosts sie versuchen zu infizieren.

Hier ist ein Auszug der Logdatei.

-------------------------------------------------- ---------------------
2007-08-30 11:31:52, Syslog.Info, 10.254.5.164, "26838: Aug 30 11:31:50:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.5.167.246 (4086) -> 10,184 .232.130 (1433), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 10.254.6.24, "432042: PIK-Router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: Liste 199 verweigert TCP 10.253.220.42 (1509 ) -> 10.25.50.154 (1433), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 10.254.3.176, "492962: lco-Router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.3.179.232 (2661 ) -> 10.45.253.12 (1433), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240 ", 4841:. Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.253.218.171 (1532) -> 10.246.248.36 (1433), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240 ", 4842:. Aug 30 11:31:53:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.253.218.171 (1564) -> 10.25.5.144 (1433), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 172.20.7.13, "495539: BA2-Router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.253.221.172 (2346 ) -> 10.30.165.137 (445), 1 Päckchen "
2007-08-30 11:31:52, Syslog.Info, 10.254.0.244, "473266: NAC-Router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: Liste 199 verweigert tcp 10.0.247.183 (3230 ) -> 10.155.217.188 (1433), 1 Päckchen "

nicht davon ausgehen, wissen wir alle, die Struktur der Log-Datei ....
Was ist die Ursache und was ist das Ziel-Adressen in der gegebenen Probe?
eine Probe log gepostet, was ist die gewünschte Ausgabe?

Sorry gute Nummer.

Nach der Liste "199 verweigert" die erste IP-Adresse ist die Quelle und der 2. IP-Adresse ist das Ziel.

die Ausgabe im suchen, ist eine Datei, die für jedes einzelne "Quelle" und fügt die Datei jedes Ziel, das jeder einzigartige Quelle.

Bisher habe ich mit dieser aber nicht funktioniert.

#! / bin / ksh
PATH \u003d $ PATH
vDIR_OUT \u003d / cygdrive / c / tmp
vLOG_OUT \u003d $ (vDIR_OUT) / ipmon.out
vSYSLOG \u003d / cygdrive / v / Routers.txt
vSYSLOG_OUT \u003d $ (vDIR_OUT) / syslog.log.new
vCOUNTER_FILE \u003d $ (vDIR_OUT) / counter.out

export PATH vDIR_OUT vLOG_OUT vSYSLOG_OUT vCOUNTER_FILE SCHLUSSBESTIMMUNGEN


#############################################
# # Erstellen Sie einen Zähler, um nur die neuen
# # Zeilen aus der syslog.log.
#############################################

# print "\ nStarting Counter, bitte haben Sie etwas Geduld ... \ n"

# SCHLUSSBESTIMMUNGEN \u003d $ (cat $ () vCOUNTER_FILE)
# typeset-i start \u003d 0
#
# cat $ (vSYSLOG) | while read vLINE
# do
# ((START \u003d START +1))
# if [[$ (START)-gt $ (final)]]
# dann
# # print "$ (vLINE)"
# fi
# Geschehen> "$ (vSYSLOG_OUT)"
# print "$ (start)" #> "$ () vCOUNTER_FILE"

#################################
# # Nun neue Daten in
# # Einen Ordner für jede IP-Adresse.
#################################

awk '/ tcp / & &! / awk / (printf ( "% s% s \ n", $ (NF-4), $ (NF-2)))' $ (vSYSLOG_OUT) | sort-u> $ (vLOG_OUT ) 2> & 1
while read-r VIP
tun
vSOURCE_IP \u003d $ (print $ (VIP) | awk-F "(" '(print $ 1)')
[! -d $ (vSOURCE_IP)] & & mkdir $ (vSOURCE_IP)
[-D $ (vSOURCE_IP)] & & print "Ordner $ () vSOURCE_IP bereits vorhanden"
print "$ (VIP Anhängen bis zu $ ()) vSOURCE_IP"
print "$ (VIP)" | awk-F, '(print $ 1, $ 2)'>> $ (vSOURCE_IP) / $ () vSOURCE_IP. txt
done <$ (vLOG_OUT)