Discussion :

[kylan]

bonjour!
je cherche a donner les statistiques suivantes:
le nombre total de connexions acceptées,refusées et enfin
le nombre de demandes de connexions (acceptées et refusées) pour chacun des
démons suivants : ftpd telnetd rpcbind fingerd imap pop.

voici un bout de mon fichier
Mar 15 00:24:45 zeta.CRM.UMontreal.CA in.ftpd[28209]: connect from omega.CRM.UMontreal.CA
Mar 15 00:26:11 poincare.CRM.UMontreal.CA rpcbind: refused connect from 64.26.80.177 to dump()
Mar 17 01:21:35 beta.CRM.UMontreal.CA in.ftpd[13331]: connect from 63.196.54.11
Mar 17 01:21:35 theta.CRM.UMontreal.CA in.ftpd[27801]: connect from 63.196.54.11
Mar 17 01:21:35 truffaut.CRM.UMontreal.CA in.ftpd[18652]: connect from 63.196.54.11
Mar 17 12:52:17 omega.CRM.UMontreal.CA in.ftpd[15959]: connect from HSE-Montreal-ppp127.qc.sympatico.ca Mar 17 12:19:47 omega.CRM.UMontreal.CA in.telnetd[19531]: connect from fitzpbe.math.auburn.edu

voici ce que j'ai fait.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#!/usr/bin/perl -w
 
use Email::Valid;
use strict;
use warnings;
 
$num_args = @ARGV;
if ($num_args != 1) {
    print "\nUne seule addresse email svp\n"
    exit;
}
 
unless( Email::Valid->address($num_args) ) {
    print "\nAddresse email invalide\n"
    exit;
}
 
print "\nfile path au log du programme tcpd?\n"
my $userlogfile = <STDIN>;
chomp $userlogfile;
exit if ($userlogfile eq "");
 
open(my $fh, '<;encoding(UTF-8)', $userlogfile)
    or die "\nErreur de lecteur du fichier '$userlogfile' $!\n";
 
while(my $row = <$fh>) {
    chomp $row;
    print "$row\n"
}
foreach $ligne (<userlogfile>) {
    ($mois, $date, $heure, $addvis, $service) = split(' ', $line);
    $substrconnect = refused connect;
    if (index($line, $substrconnect) = -1) {
        $etat = connect;
    }
    $addsou = substr($line, 4 + index($line, from));
    if (index($line, to) != -1) {
        $commentaire = substr($line, index($line, to)); 
    }
}

mais je n'arrive a trouver le nombre de demandes de connexions (acceptées et refusées) pour chacun des
démons : ftpd telnetd rpcbind fingerd imap pop.
merci de me donner des pistes

[Lolo78]

Bonjour,

je ne vois pas trop le rapport entre:
- le fichier de log en entrée;
- le code que tu présentes; et
- ce que tu demandes (et le titre de ton post).

S'il s'agit d'extraire des données du fichier log, explique précisément quelles données tu veux extraire de ce fichier et comment tu veux agréger et présenter ces données.

[kylan]

désolé de n'avoir pas été explicite.
le programme doit lire le fichier de log et analyser chaque ligne pour trouver des balayages (“scans”) potentiels, en supposant que plus de 5 demandes (connexions acceptées ou refusées) provenant de la même adresse dans la même minute est un balayage potentiel. Quand il trouve un balayage potentiel, il envoie immédiatement un courrier électronique à l’adresse courriel (donné en paramètre), avec comme information l’heure et l’adresse du balayage.

a la fin il doit faire
la liste des 3 adresses sources qu’on retrouve le plus souvent dans le fichier analysé et les statistiques suivantes:
- le nombre total de connexions acceptées
- le nombre total de connexions refusées
-le nombre de demandes de connexions (acceptées et refusées) pour chacun des
démons suivants : ftpd telnetd rpcbind fingerd imap pop

je dois utiliser les tableaux associatifs pour faire mes statistiques.

ce que j'ai codé c'est pour les 3 premières questions . et je cherche une piste pour la dernière .

[6ril23]

Voilà comment je ferais:

Pour chaque ligne, recherche avec une expression régulière: $ligne =~ (ftpd|telnetd|rpcbind|fingerd|imap|pop).*?(connect|refused connect) Attention pas testé et pas sûr)

Et ensuite tu construis ta table du genre :
si $resultat{$2}{$1} existe alors $resultat{$2}{$1} +=1; sinon $resultat{$1}{$2} = 1;
si $resultat{$2}{'total'} existe alors $resultat{$2}{'total'} +=1; sinon $resultat{$1}{'total'} = 1;

A la fin tu auras donc une table :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
resultat => 'connect' => 'ftpd' =>XX
                     => 'telnetd' => X
                     => ...
                     => 'total' => 
          => 'refused connect' => 'ftpd' =>XX
                               => 'telnetd' => X
                               => ...
                               => 'total'=> XXXX

X est un Chiffre
comme ça en parcourant ta table tu auras tu auras facilement la réponse aux 3 questions.
exemple le nb total de connexion OK = ${'connect'}{'total'}

Edit : J'ai pas du tout regardé pour le balayage

[kylan]

ok merci je vais le tester voir!