Файловый архив студентов. Файловый архив студентов.
1298 вузов, 5041 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Защита операционных систем сетевых устройств
Файл:
Лабораторная работа №9.docx
Скачиваний:
11
Добавлен:
10.08.2024
Размер:
1.04 Mб
Скачать
►Содержание►

12.2.1.5. «Преобразование данных в универсальный формат»

Цель работы:

Познакомиться с нормализацией сеток времени в файле журнала.

Ход работы:

Часть 1. Нормализация метки времени в файле журнала

  1. Запустите ВМ CyberOps Workstation и затем запустите окно терминала.

  2. С помощью команды cd измените текущий каталог на /home/analyst/lab.support.files/. Здесь хранится копия показанного выше файла (рис.11).

Рисунок 11 – Поиск нужного файла

  1. Введите следующую команду AWK для преобразования и вывода результата на терминал (рис.12).

Рисунок 12 – Вывод результат преобразования

  1. Используйте nano (или другой текстовый редактор, удобный вам) для удаления дополнительной пустой строки в конце файла и повторно запустите сценарий AWK (рис.13).

Рисунок 13 – Удаление пустой строки в конце файла

  1. Перенаправьте выходные данные этого сценария в файл с именем applicationX_in_human.log, чтобы сохранить их в файл (рис.14).

Рисунок 14 – Сохранение в другой файл

  1. Используйте cat для просмотра файла applicationX_in_human.log. Обратите внимание, что дополнительная строка теперь отсутствует, а метки времени для записей журнала были преобразованы в формат human readable (рис.15).

Рисунок 15 – Вывод содержимого файла

Часть 2. Нормализация меток времени в файле журнала Apache

  1. На терминале ВМ CyberOps Workstation копия файла журнала Apache apache_in_epoch.log хранится в каталоге /home/analyst/lab.support.files.

  2. Используйте сценарий awk для преобразования поля метки времени в формат human readable (рис.16).

Рисунок 16 – Попытка преобразования поля метки времени

  1. Для того чтобы устранить эту проблему, необходимо удалить квадратные скобки из поля метки времени до начала преобразования (рис.17).

Рисунок 17 – Вторая попытка преобразования поля метки времени

Часть 3. Подготовка файла журнала в Security Onion

Шаг 1. Переключение на Security Onion.

Запустите виртуальную машину Security Onion из панели управления в VirtualBox (имя пользователя: analyst и пароль: cyberops).

Шаг 2. Журналы Bro в Security Onion.

  1. Журналы Bro хранятся в /nsm/bro/logs/.

  2. Для того чтобы просмотреть все файлы журнала, создаваемые Bro, используйте команду ls -l (рис.18).

Рисунок 18 – Просмотр файлов журнала, создаваемые Bro

Шаг 3. Журналы Snort.

  1. Журналы Snort можно найти в каталоге /nsm/sensor_data /. Измените текущий каталог следующим образом.

  2. Для того чтобы просмотреть все файлы журнала, создаваемые Snort, используйте команду ls -l (рис.19).

Рисунок 19 – Просмотр файлов журнала Snort

  1. Используйте команду ls –l seconion-eth0 для просмотра списка файлов, созданных интерфейсом ethernet 0 (рис.20).

Рисунок 20 – Просмотр файлов интерфейса 0

Шаг 4. Другие журналы.

Некоторые файлы журналов хранятся в каталоге /nsm/. Кроме того, более специфичные файлы журналов можно найти в каталоге /var/log/nsm/. Сделайте этот каталог текущим и используйте команду ls -l, чтобы просмотреть все файлы журнала в этом каталоге (рис.21).

Рисунок 21 – Просмотр файлов других журналов

Соседние файлы в предмете Защита операционных систем сетевых устройств
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности