2. 程式人生 > >SSH登入日誌分析指令碼(Python)

SSH登入日誌分析指令碼(Python)

阿新 發佈:2018-12-24

好久沒有更新部落格了,寫了很早的一個指令碼存下檔,一個用於分析使用者登入日誌 /etc/auth.log的指令碼,可以分析

成功、失敗次數,以及來自的IP地址和登入失敗的使用者名稱,可以用於監控是否有暴力攻擊,多了就可以用於收集字典,用來避免密碼過於簡單的問題

#/usr/bin/env python3.4
#Anyalize the /etc/auth.log files to get
#   1) how many failed login trials
#   2) how many succeeded login trials
#   3) how many IP's where the login trials comes from and what they are
#   4) how many invalid usernames are tested and what they are
#
#   usage:
#       anyalyze <filename>
#   note: - for standard input stream
import sys
import re


# # of trials
DEBUG_FLAG = 0
INFO_FLAG = 0

def debug(msg):
    if DEBUG_FLAG:
        print("[DEBUG] ", msg)

def info(msg):
    if INFO_FLAG:
        print("[INFO] ", msg)

def openLog( source ):
    if( source == "-"):
        return sys.stdin;
    else:
        debug("opening file:" + source)
        f = open(source,'r')
        return f

# failed login
ptnFailed = re.compile(r'Failed password for (?P<user>\w+) from (?P<ip>\d+\.\d+\.\d+\.\d+)')
# invalid user trail
ptnInvalid = re.compile(r'Failed password for invalid user (?P<user>\w+) from (?P<ip>\d+\.\d+\.\d+\.\d+)')
# login succeeded
ptnSuccess = re.compile(r'Accepted password for (?P<user>\w+) from (?P<ip>\d+\.\d+\.\d+\.\d+)')
# sudo
ptnSudo = re.compile(r'session opened for user (?P<user>\w+) by (?P<ip>\w+)')

# >0: valid user & incorreck password
# <0: invalid user
nFailed = {}
nSuccess = {}
nSuccess_records = {}
ipFailed={}
ipSuccess={}

if(len(sys.argv) < 2):
    print("Usage:")
    print("\t"+sys.argv[0]+" <filename>")
    print("Note: <filename> can be - for standard input stream")
    exit(0)

log = openLog(sys.argv[1])
for line in log:
    m = ptnFailed.search(line)
    debug(m)
    if not m:
        m = ptnInvalid.search(line)
        debug(m)
    if m:
        user =  m.group(ptnInvalid.groupindex['user'])
        if user not in nFailed:
            info("[FAILED] Found a new user <" + user + ">");
            nFailed[user] = 0
        nFailed[user] = nFailed[user]+1
        ip = m.group(ptnInvalid.groupindex['ip'])
        if ip not in ipFailed:
            ipFailed[ip] = 0
            info("[FAILED] Found a new ip <" + ip + ">");
        ipFailed[ip] = ipFailed[ip] + 1
    else:
        m = ptnSuccess.search(line)
        if not m:
            m = ptnSudo.search(line)
        debug(m)
        if m:
            print(line)
            user =  m.group(ptnSuccess.groupindex['user'])
            if user not in nSuccess:
                nSuccess[user] = 0
                info("[SUCCESS] Found a new user <" + user + ">");
            nSuccess[user] = nSuccess[user]+1
            ip = m.group(ptnSuccess.groupindex['ip'])
            if ip not in ipSuccess:
                ipSuccess[ip] = 0
                info("[SUCCESS] Found a new ip <" + ip + ">");
            ipSuccess[ip] = ipSuccess[ip] + 1
        else:
            debug("*** Unknown:" + line)
# TODO: close(log)
    
print("nFailed:" )
print(nFailed)
print("nSuccess:" )
print(nSuccess)

# a key-value list
# it assure that the order is the same to the coming order
class KeyValue:
    def __init__(self, key, value):
        self.key = key
        self.value = value

    def __repr__(self):
        return repr((self.key, self.value))

# return a KeyValue list because of the order of the keys in a dictionary
# is unexpected, not same to the order as they are put in
def sortDict(adict):
    result=[]
    keys = sorted(adict.keys(),key=adict.__getitem__, reverse = True)

    for k in keys:
        result.append(KeyValue(k,adict[k]))
    return result

# convert a KeyValue list to html table
# @return a html string
def KeyValueList2Html(kvlist, headerMap):
    html ="<table>\n"
    
    hkey = 'Key'
    hvalue = 'Value'
    if headerMap:
        hkey = headerMap['key'];
        hvalue = headerMap['value'];
        debug(hkey)
        debug(hvalue)
    html+= "<th>"+"<td>"+hkey+'</td>'+'<td>'+hvalue+'</td>'+ '</th>\n'
    for kv in kvlist:
        html += "<tr>"+"<td>"+kv.key+'</td>'+'<td>'+str(kv.value)+'</td>'+ '</tr>\n'
    html += "</table>\n"
    return html

print("------------ Tested user list *Failed* -------------", sortDict(nFailed))
print("------------ Source IP *Failed* ------------------",sortDict(ipFailed))
print("------------ Login Success  -------------", sortDict(nSuccess))
print("------------ Source IP *Success* -----------------", sortDict(ipSuccess))

# writing result to a HTML report
print("Wring result to result.html ...")
reportFilename = 'auth.log-analysis.html'
report = open(reportFilename, 'w')
if report:
    title = 'Auth Log Analysis'
    report.write('<html>\n')
    report.write('<head>'+title+'</head>\n')
    report.write('<style>'
                 + 'table {border:black 1px solid}'
                 +'</style>')
                 

    report.write("------------ Tested user list *Failed* -------------\n")
    report.write(KeyValueList2Html(sortDict(nFailed),{'key':'username','value':'# of trial'}))
    report.write("------------ Source IP *Failed* ------------------")
    report.write(KeyValueList2Html(sortDict(ipFailed),{'key':'source IP','value':'# of trial'}))
    
    report.write("------------ Login Success  -------------")
    report.write(KeyValueList2Html(sortDict(nSuccess),{'key':'username','value':'# of trial'}))    
    report.write("------------ Source IP *Success* -----------------")
    report.write(KeyValueList2Html(sortDict(ipSuccess),{'key':'source IP','value':'# of login'}))

    
    report.write('<body>\n')
    report.write('</body>\n')
    report.write('</html>\n')
#    close(report)
    print('OK')
else:
    print('Failed to open file:', reportFilename)


相關推薦

SSH登入日誌分析指令碼Python)

好久沒有更新部落格了,寫了很早的一個指令碼存下檔,一個用於分析使用者登入日誌 /etc/auth.log的指令碼,可以分析 成功、失敗次數,以及來自的IP地址和登入失敗的使用者名稱,可以用於監控是否有暴力攻擊,多了就可以用於收集字典,用來避免密碼過於簡單的問題 #/usr

python,日誌分析指令碼

做運維的朋友剛開始寫python,就用這段分析日誌程式碼算作入門吧import re [email protected] f=open("/tmp/a.log","r") arr={} li

secureCRT自動登入指令碼python

由於每次登入都要輸入使用者名稱和密碼,還有個別裝置不能用SSH2,而我又不記得是哪幾臺??!! 寫個指令碼,做個按鈕,在Button Bar,New Button,在Action -> Function選Run Script,在Run Script選好指令碼路徑,自己

centos7搭建ELK Cluster日誌分析平臺一)

場景 git centos7 beat images 下載地址 install posit src 應用場景:ELK實際上是三個工具的集合,ElasticSearch + Logstash + Kibana,這三個工具組合形成了一套實用、易用的監控架構,      很多公司

centos7搭建ELK Cluster集群日誌分析平臺四):簡單測試

-1 簡單測試 logs ima .tar.gz 分析 -c cluster images 續之前安裝好的ELK集群   各主機:es-1 ~ es-3 :192.168.1.21/22/23       logstash:  192.168.1.24       ki

數據分析——作圖Python

orb sub als ams log range pos div blog 一、基礎設置 導入相關的庫 import pandas as pd import numpy as np import matplotlib.pyplot as plt import seabo

nginx切割日誌腳本python

nginx 日誌 分割因為以前沒有做nginx日誌分割,有時候想看日誌的時候總是發現有十幾G的甚至上百G的日誌文件,於是就想使用python寫個nginx日誌分割(當然你也可以使用shell來完成都是很簡單) 需求:1.按照日分割nginx所有日誌2.由於日誌不需要隨時可以查看,需要做歸檔(壓縮.tar.gz

loganalyzer日誌分析工具CentOS7.4)

loganalyzer日誌分析工具 日誌服務器部署 loganalyzer日誌分析工具(CentOS7.4)Loganalyzer是一款syslog日誌和其他網絡事件數據的Web前端。它提供了對日誌的簡單瀏覽、搜索、基本分析和一些圖表報告的功能。數據可以從數據庫或一般的syslog文本文件中獲取,所以

AWStats 日誌分析系統含源碼包)

acc rec this 工作量 mine adbd 產生 default for 前言 在上一篇文章中寫了關於httpd的一些簡介、配置。那麽我們應該知道,HTTP服務器的訪問量非常龐大,在它的訪問日誌文件access_log 中,記錄了很多很多客戶的訪問信息,維護的管

NS2 trace檔案分析指令碼適合無線trace)

絡上有不少awk程式是講如何分析網路效能的(主要是時延,吞吐量,丟包率和時延抖動),但是都沒有詳細的說明,我在此作一些示例,添加了一些必要的說明註釋。 以下的內容是針對NS2模擬的結果trace檔案進行網路效能分析,看本篇前需要先行了解的的內容有:awk語言的基礎,包括語法和結構等;在Linux下

搭建ELK日誌分析平臺下)—— 搭建kibana和logstash伺服器

轉:http://blog.51cto.com/zero01/2082794 筆記內容:搭建ELK日誌分析平臺——搭建kibana和logstash伺服器筆記日期:2018-03-03 27.6 安裝kibana 27.7 安裝logstash 27.8 配置logstas

搭建ELK日誌分析平臺上)—— ELK介紹及搭建 Elasticsearch 分散式叢集

轉:http://blog.51cto.com/zero01/2079879 筆記內容:搭建ELK日誌分析平臺(上)—— ELK介紹及搭建 Elasticsearch 分散式叢集筆記日期:2018-03-02 27.1 ELK介紹 27.2 ELK安裝準備工作 27.3 安

大資料專案實戰之 --- 某App管理平臺的手機app日誌分析系統三)

一、建立hive分割槽表 ---------------------------------------------------- 1.建立資料庫 $hive> create database applogsdb; 2.建立分割槽表 編寫指令碼。

atlas 日誌分析指令碼

#!/usr/bin/env python # encoding: utf-8 #@author: 東哥加油! #@file: log_analyze.py #@time: 2018/8/23 17:15 import pandas as pd import re import time impor

我的日誌分析之道:簡單的Web日誌分析指令碼

前言 長話短說,事情的起因是這樣的,由於工作原因需要分析網站日誌,伺服器是windows,iis日誌,在網上找了找,github找了找,居然沒找到,看來只有自己動手豐衣足食。 那麼分析方法我大致可分為三種: 1. 基於時間:將請求url按時間段分類,那麼我們根據每個時間

遊戲輔助指令碼python

本文介紹怎樣用Python寫遊戲輔助指令碼 主要實現方式是通過圖片的對比,在遊戲中就行點選。執行程式需要以下東西。 PIL: 圖片處理模組     (python3 換成了 pillow)  下載地址: https://www.lfd.uci.edu/~gohlke/py

Titanic資料分析報告python

# Titanic資料分析報告 ## 1.1 資料載入與描述性統計 載入所需資料與所需的python庫。 import statsmodels.api as sm import statsmodels.formula.api as

搭建ELK日誌分析系統一)-Elasticsearch安裝

前言 搭建ELK系統有兩種方式 1、元件獨立安裝(更深入瞭解ELK系統的工作流程) 2、使用docker容器安裝(這種方式配置更簡單,快捷方便) 本系列文章使用元件獨立安裝的方式,如果你想使用docker容器安裝,請跳過本教程 環境需求 本教

Centos7.2 搭建ELK-5.6.4日誌分析平臺一)

日誌作為系統的重要的除錯分析檔案,是我們開發除錯,運維監控,找錯等。所以,必須需要建立一個日誌分析平臺,用於監控分析各個系統的日誌。而業內最有知名的日誌分析平臺,則是ELK系統。是一整套完整的日誌分析體系,官方地址為:https://www.elastic.co/cn/pr

Shell日誌分析之應用日誌分析指令碼

一 指令碼 1 ############################################################# 2 # File Name: check_http_log.sh 3 # Author:cakin 4 # mail:[email protected] 5