- 論壇徽章:
- 0
|
最近我在做個項(xiàng)目是分析下用戶公鑰和sshd日志分析,方案是把LogLevel調(diào)到VERBOSE�����,這樣通過分析ssh key的 fingerprint可以找到每次用戶登錄用的key和從哪里登錄過來的。
隨著分析的進(jìn)行��,我已經(jīng)基本出了個CSV格式的整體報(bào)表���,而每天的日志結(jié)果我需要去更新這份CSV數(shù)據(jù)�����。
=============summary.report ========================
USER|USERTYPE|KEYFILE|KEYLINENUMBER|FINGERPRINT|COMMENTS|HOST_TYPE_VIA_PUBKEY|LAST_USE|RISK|IDENTIFIED_RISK|KEY
actload|SSH|/home/actload/.ssh/authorized_keys2|LINE1|26:a7:f8:ff:ff:ff:79:46:c0:90:60:17:49:48:ff:ff|actload@remotehost |SSH from remote|20120101|YES|from clause not set|bla bla
actsftp|RSSH|/home/actsftp/.ssh/authorized_keys2|LINE2|af:ff:ff:ff:93:ff:ff:ff:ff:ff:9d:2c:22:be:27:ff|actsftp@remote |sftp from remote|20120104|NO||from="remote" bla bla
=====================================
其中日志的有些域需要每天去更新(ex:LAST_USE 這個ssh 可以最后一天使用日期),還有些其他信息�����。
比如我今天分析的日志結(jié)果如下:
=============daily.20120109.report ========================
USER|FINGERPRINT
actsftp|af:ff:ff:ff:93:ff:ff:ff:ff:ff:9d:2c:22:be:27:ff
=====================================
這樣我就要去更新下mummary.report中關(guān)于帳號actsftp的LAST_USE部分�,
類似數(shù)據(jù)庫( update summary.report set LAST_USE="20120109" where USER=actsftp and FINGERPRINT="actsftp|af:ff:ff:ff:93:ff:ff:ff:ff:ff:9d:2c:22:be:27:ff".
不過反過來用SHELL來實(shí)現(xiàn)的話�,我想可能awk比較方便些吧,數(shù)據(jù)都是CSV格式的
//summary.report.update_LAST_USE.awk
{
if ( $1=actsftp && $5)
print $1,$2....$8,"20120109",10,$11
else
print $0
}
這樣如果daily.XXXXX.report里有幾行,就生成個有一個if判斷的awk語句�,這樣跑下這個awk語句也就實(shí)現(xiàn)了更新這個report的。
我的方案還沒寫成完整腳本���,所以沒不確定功能或者性能����。不過這樣寫有很多硬編碼。萬一改動下CSV文件的域位置���,就麻煩了�����。
不知道大家如何實(shí)現(xiàn)SHELL類似數(shù)據(jù)庫更新的操作����,或者SHELL有類似數(shù)據(jù)庫組件或者啥的能用�?
|
|
免費(fèi)注冊
發(fā)表于 2012-01-09 16:37
發(fā)表于 2012-01-09 18:58
念章.png "2016科比退役紀(jì)念章
日期:2022-04-24 14:33:24")