Discussion :

[progfou]

Bonjour à tous !

J'aimerai utiliser sed pour changer la manière dont iptables me stocke mes logs.
Voici un exemple de ligne dans le fichier de log:

Oct 12 23:07:03 firewall kernel: IN=eth1 OUT= SRC=10.0.0.66 DST=10.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=39 ID=51459 PROTO=TCP SPT=53120 DPT=80 WINDOW=4096 RES=0x00 ACK URGP=0

J'aimerai transformer cette chaîne en quelque chose comme:

IP_src: 10.0.0.66 IP_dest: 10.0.0.1 port: 80

Autant, changer SRC en IP_src ne me pose pas de problème, autant virer tout ce qui ne m'intéresse pas est problématique.

J'aimerai récupérer uniquement SRC, DST et DPT.

Merci d'avance pour votre aide !

[N_BaH]

Bonjour progfou,

Essaie ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sed 's/.*SRC=\([^ ]*\).*DST=\([^ ]*\).*DPT=\([^ ]*\).*/IP_src:\1 IP_dest:\2 port:\3/'

...
?

[progfou]

Salut,

Ca ne fonctionne pas... du tout ! .
J'ai l'impression qu'il ne se passe rien...

[N_BaH]

???
Bizarre...

donne d'autres lignes, mais a priori, en copiant plusieurs fois la même dans un fichier, et en appliquant la commande à ce fichier, pour moi ça marche...
?

[progfou]

OK, je sais pourquoi...
C'est une histoire d'espaces et de \r.
Petite question: tu peux juste expliquer en deux mots comment tu arrives à cette ligne stp ?
Histoire que je sache la réutiliser ;-).

Merci.

[N_BaH]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
sed 's/            # substitution
.*SRC=             # tout jusqu'à 'SRC='
\(                 # groupe
[^ ]*              # jusqu'au premier espace
\)                 # fin groupe
.*DST=\([^ ]*\)    # idem avec 'DST='
.*DPT=\([^ ]*\)    # idem avec 'DPT='
.*                 # le reste de la ligne
/                  # délimiteur
IP_src:            # substitution de 'SRC='
\1                 # rappel du premier groupe
 IP_dest:          # substitution de 'DST='
\2                 # rappel du deuxième groupe
 port:             # substitution de 'DPT='
\3                 # rappel du troisième groupe
/'                 # fin