Ik ben geen programmeur, maar ik zou graag willen leren. Probleem is dat ik een echte probleem dat moet een script asap.

Ik moet het schrijven van een script dat kan parseren een logbestand en trek uniek IP-adres van de bron adres kolom en maak een bestand met de naam van het ip-adres als de bestandsnaam. En toen een bestemming IP-adressen overeenkomen met de bron-adres van een bestand dat zij voegt unieke bestemming adres en de poort naar dat bestand.

Dus wat im proberen te doen is een bestand voor elke geïnfecteerde computer en append binnen dat bestand alle hosts die ze proberen te infecteren.

Hier is een fragment van het logbestand.

-------------------------------------------------- ---------------------
2007-08-30 11:31:52, Syslog.Info, 10.254.5.164, "26838: Aug 30 11:31:50:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.5.167.246 (4086) -> 10.184 .232.130 (1433), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 10.254.6.24 "432042: PIK-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.253.220.42 (1509 ) -> 10.25.50.154 (1433), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 10.254.3.176, "492962: LCO-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.3.179.232 (2661 ) -> 10.45.253.12 (1433), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240, "4841:. Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.253.218.171 (1532) -> 10.246.248.36 (1433), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 10.254.5.240, "4842:. Aug 30 11:31:53:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.253.218.171 (1564) -> 10.25.5.144 (1433), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 172.20.7.13 "495539: ba2-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.253.221.172 (2346 ) -> 10.30.165.137 (445), 1 pakje "
2007-08-30 11:31:52, Syslog.Info, 10.254.0.244, "473266: NAC-router: Aug 30 11:31:52:% SEC-6-IPACCESSLOGP: lijst 199 ontzegd tcp 10.0.247.183 (3230 ) -> 10.155.217.188 (1433), 1 pakje "

niet veronderstellen we allemaal weten de structuur van uw log-bestand ....
wat is de oorzaak en wat is de bestemming adressen in de gegeven monster?
een log monster geplaatst, wat is de gewenste output?

Sorry goed punt.

Na de "list 199 denied" het eerste IP-adres is de bron en de 2e IP-adres is de bestemming.

de output im zoek naar een bestand aangemaakt voor elke unieke "bron" en een bijlage bij dat bestand van elke bestemming die overeenkomt met elke unieke bron.

Tot dusver heb ik met deze maar het werkt niet.

#! / bin / ksh
PATH \u003d $ PATH
vDIR_OUT \u003d / cygdrive / c / tmp
vLOG_OUT \u003d $ (vDIR_OUT) / ipmon.out
vSYSLOG \u003d / cygdrive / v / Routers.txt
vSYSLOG_OUT \u003d $ (vDIR_OUT) / syslog.log.new
vCOUNTER_FILE \u003d $ (vDIR_OUT) / counter.out

export PATH vDIR_OUT vLOG_OUT vSYSLOG_OUT vCOUNTER_FILE DEF


#############################################
# # Maak een teller te krijgen alleen de nieuwe
# # Lijnen van de syslog.log.
#############################################

# print "\ nStarting Counter, neem dan even geduld ... \ n"

# DEF \u003d $ (cat vCOUNTER_FILE $ ())
# zetten START-i \u003d 0
#
# cat $ (vSYSLOG) | terwijl lees vLINE
# doen
# ((START \u003d BEGIN +1))
# if [[$ (START)-gt $ (DEF)]]
# vervolgens
# # print "$ (vLINE)"
# fi
# gedaan> "$ (vSYSLOG_OUT)"
# print "$ (START)" #> "$ (vCOUNTER_FILE)"

#################################
# # Nu het verzamelen van nieuwe gegevens in
# # Een map voor elk IP-adres.
#################################

awk '/ tcp / & &! / awk / (printf ( "% s% s \ n", $ (NF-4), $ (NF-2))) "$ (vSYSLOG_OUT) | sort-u> $ (vLOG_OUT ) 2> & 1
terwijl lees-r VIP
doen
vSOURCE_IP \u003d $ (print $ (VIP) | awk-F "(" '(print $ 1)')
[! -d $ (vSOURCE_IP)] & & mkdir $ (vSOURCE_IP)
[-D $ (vSOURCE_IP)] & & print "Folder $ () vSOURCE_IP reeds bestaan"
print "en voeg $ () VIP naar $ (vSOURCE_IP)"
print "$ (VIP) '| awk-F,' (print $ 1, $ 2) '>> $ (vSOURCE_IP) / $ (vSOURCE_IP). txt
Gedaan <$ (vLOG_OUT)