利用Python实时读取fast.json或eve.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

时间: 2023-12-03 09:47:09 浏览: 162
可以使用Python的`json`和`subprocess`库来实现实时读取`fast.json`或`eve.log`,并对级别较低的预警进行主动响应。 下面是一个简单的示例代码: ```python import json import subprocess # 读取 fast.json 或 eve.log with open('fast.json') as f: data = json.load(f) # 找到级别 <= 2 的预警,并封禁相应的 IP for alert in data['alerts']: if alert['severity'] <= 2: ip = alert['src_ip'] subprocess.run(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) ``` 需要注意的是,上述代码只是一个示例,实际应用中还需要考虑一些细节问题,比如如何处理日志文件的变化、如何定期清除已封禁的 IP 等。
相关问题

利用Python实时读取fast.log或eve.json,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的`tail`模块来实时读取`fast.log`文件,或者使用`watchdog`模块来监听`eve.json`文件变化。 以下是一个示例代码,用于读取`fast.log`文件并对级别小于等于2的预警进行主动响应: ```python import subprocess import tail def block_ip(ip): # 调用iptables命令封禁IP subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) # 实时读取fast.log文件 t = tail.Tail('fast.log') t.register_callback(lambda x: block_ip(x.split()[0]) if int(x.split()[1]) <= 2 else None) t.follow() ``` 如果要监听`eve.json`文件变化,则可以使用`watchdog`模块: ```python import json import subprocess from watchdog.observers import Observer from watchdog.events import FileSystemEventHandler class MyEventHandler(FileSystemEventHandler): def on_modified(self, event): if event.src_path.endswith('.json'): with open(event.src_path, 'r') as f: data = json.load(f) if data['level'] <= 2: subprocess.call(['iptables', '-A', 'INPUT', '-s', data['src_ip'], '-j', 'DROP']) # 监听eve.json文件变化 observer = Observer() observer.schedule(MyEventHandler(), '.', recursive=True) observer.start() ``` 以上代码仅供参考,具体实现需要根据实际需求进行调整。同时,请注意iptables的使用规则,不当的使用可能会导致系统不稳定或者无法访问。

利用Python实时读取eve.json或fast.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的`json`和`subprocess`模块来实现这个功能。 首先,使用`json`模块读取`eve.json`文件中的内容: ```python import json with open('eve.json', 'r') as f: events = json.load(f) ``` 然后,遍历`events`列表,查找级别小于等于2的预警: ```python for event in events: if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) ``` 如果使用`fast.log`文件,可以使用`tail`命令实现实时读取: ```python import subprocess p = subprocess.Popen(['tail', '-f', 'fast.log'], stdout=subprocess.PIPE) while True: line = p.stdout.readline().decode('utf-8') if line: # 处理日志内容,判断是否需要封禁IP pass ```
阅读全文

相关推荐

zip

基于Python实现的iptables【100011456】

用Python实现的iptables。本项目使用vmwarefusion搭建实验环境,使用虚拟主机<=>虚拟路由<=>虚拟服务器形式。虚拟主机和虚拟路由均为虚拟机,虚拟服务器在本机搭建。
zip

毕业设计:基于python、open-cv、pywin32等类库 主要用于搭建eve手游预警机系统.zip

计算机毕设源码
zip

iptables 的 Python 绑定.zip

iptables 的 Python 绑定介绍关于 python-iptablesIptables是用于管理netfilter的工具,它是 Linux 下的标准数据包过滤和操作框架。正如 iptables 手册页所述Iptables 用于设置、维护和检查 Linux 内核中的 IPv4 ...

利用Python实时读取fast.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的 tail 模块来实时读取日志文件,然后使用正则表达式匹配日志信息中的级别和IP信息,如果级别小于等于2,则调用 iptables 命令封禁该IP。 以下是示例代码: python import re import ...
.zip

python-iptables, iptables的python 绑定.zip

python-iptables, iptables的python 绑定 简介关于 python-iptables是用来管理的工具,它是Linux下标准包过滤和操作框架的标准。 就像iptables代码手册所显示的:Iptables用于在Linux内核中设置。维护和检查IPv4包...
sh

ban_iptables iptables封禁BT、PT、SPAM(垃圾邮件)和自定义端口、关键词脚本(510行).sh

SH脚本文件案例,BASH脚本文件参考,Linux脚本文件参考,sh脚本文件写法参考,SH脚本写法规范学习,bash脚本linux脚本规范学习,命令行管理工具封装,服务管理叫版本,一键启动,卸载,安装,重启,更新,统计,监控...
sh

IP_iptables.sh

IP_iptables
application/msword

linux下使用iptables和iproute2做高级路由

使用iptables配合iproute2做策略路由
zip

App-Waf:A simple waf application .用来实时探测web 非法访问,统计非法访问的ip ,web状态,访问url,来源web url。结合iptables和nginx可以实现实现实时封禁

结合iptables可以实现实现实时封禁。实例说明 见example目录(包括日志)use App::Waf;my $filename = "example.acess";#日志文件my $numlines = 50000; #要处理的行数,从后读。my $line=tail($filename,$$numlines)...
gz

Python IPTABLES interface-开源

用于iptables操作的Python模块(获取/添加/删除规则等)
pdf

对Linux下netfilter/iptables中log日志格式探讨.pdf

对Linux下netfilter/iptables中log日志格式探讨 本文将探讨Linux系统下的netfilter/iptables日志格式,对其进行分析和改进。通过对ipt_LOG.c源文件的分析,我们可以看到当前的日志记录格式存在一些问题,如过于随意...
docx

Linux防火墙:iptables禁IP与解封IP常用命令.docx

Linux防火墙:iptables禁IP与解封IP常用命令.docx
gz

IPTables log analyzer-开源

今天,基于Netfilter的防火墙拒绝了哪些数据包? 这个可疑主机多久尝试一次连接到您的盒子? 什么是最被拒绝的域名? 这个扫描您的端口的陌生主机是谁? 响应在iptables日志中
gz

Iptables Log Viewer-开源

我们提供免费的产品,可帮助您快速轻松地访问记录的数据,以分析网络连接中的问题。 它以舒适的格式显示iptables记录的数据,以便您分析流量活动
zip

aws-whitelist:用于获取最新 AWS IP-Ranges json 文档并添加到 IPtables 白名单的脚本

aws-白名单用于获取 .json 格式的最新 AWS IP-Ranges 的脚本,并将其分类为 IPtables 命令以将 AWS 范围列入白名单: aws-ip-range.py 脚本获取最新的 amazon ip-ranges.json,遍历所有包含的范围并以 iptables 命令...
pdf

centOS7 下利用iptables配置IP地址白名单的方法

下面小编就为大家带来一篇centOS7 下利用iptables配置IP地址白名单的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

import json import subprocess with open('/var/log/suricata/fast.log', 'r') as f: events = json.load(f) for event in events: if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!') 代码运行后报错:Traceback (most recent call last): File "do-Suricata.py", line 6, in <module> event = json.loads(line) File "/usr/local/python3.7/lib/python3.7/json/__init__.py", line 348, in loads return _default_decoder.decode(s) File "/usr/local/python3.7/lib/python3.7/json/decoder.py", line 340, in decode raise JSONDecodeError("Extra data", s, end) json.decoder.JSONDecodeError: Extra data: line 1 column 2 (char 1)如何解决

这个错误提示说明在读取 /var/log/suricata/fast.log 文件时,有一些额外的数据没有被解析掉,导致 json.loads 函数无法正常工作。你需要检查一下文件内容,看看是否存在格式错误或者其他问题。 另外,你的代码...
zip

基于SpringBoot的“古城景区管理系统”的设计与实现(源码+数据库+文档+PPT).zip

系统通过提供详尽的热门景点、客房类型、酒店信息、美食类型、特色美食、文创产品及导游服务,使游客能够深入了解古城的历史与文化。该系统集成了导游预约、景点类型、热门景点、门票订单、客房类型、酒店信息、酒店预订、美食类型、特色美食等模块,使得管理人员可以实时监控游客流量、维护设施安全,并通过数据洞察来优化运营策略。系统支持在线订票、智能推荐路线等功能,为游客带来便捷的旅行体验,也帮助管理者更有效地保护和利用文化遗产资源。

大家在看

recommend-type

C语言课程设计《校园新闻发布管理系统》.zip

C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zip C语言课程设计《校园新闻发布管理系统》.zi 项目资源具有较高的学习借鉴价值,也可直接拿来修改复现。可以在这些基础上学习借鉴进行修改和扩展,实现其它功能。 可下载学习借鉴,你会有所收获。 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。2. 部分字体以及插图等来自网络,若是侵权请联系删除。
recommend-type

基于ArcPy实现的熵权法赋值地理处理工具

熵权法赋值工具是一种用于计算栅格权重并将若干个栅格加权叠加为一个阻力面栅格的工具。它由两个脚本组成,分别用于计算各栅格的权重并输出为权重栅格,以及将这些栅格加权叠加为一个阻力面栅格。 在使用熵权法赋值工具时,首先需要准备输入的文件夹,单个文件夹中应该只存放单个栅格文件。在第一个脚本中,需要输入存放栅格的文件夹,单击运行后会生成一个名为result.tif的栅格文件。在第二个脚本中,需要输入存放权重栅格的文件夹,单个文件夹内存放若干个栅格,单击运行后会生成一个名为resistance.tif的权重栅格。 使用熵权法赋值工具可以方便地计算栅格的权重并将多个栅格叠加为一个阻力面栅格,在地理信息系统中有广泛的应用。 需要注意的是,本工具的使用环境为ArcGIS Desktop 10.7版本,如果您使用的是其他版本的ArcGIS,可能会出现兼容性问题。因此,在使用本工具时,应该确保您使用的是ArcGIS Desktop 10.7版本,以保证程序的正常运行。如果您使用的是其他版本的ArcGIS,可能需要升级或者降级到ArcGIS Desktop 10.7版本,才能使用本工具。
recommend-type

B-6 用户手册.doc

一份专业的软件用户手册
recommend-type

非线性规划讲义-方述诚

非线性规划讲义-方述诚
recommend-type

基于Nios II的电子时钟设计

点路设计eda,基于Nios II的电子时钟设计,介绍了设计方法,有代码

最新推荐

recommend-type

Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)

通过分析nginx的日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
recommend-type

利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法

下面小编就为大家带来一篇利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

详解Android 利用Iptables实现网络黑白名单(防火墙)

主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

iptables配置(/etc/sysconfig/iptables)操作方法

下面小编就为大家带来一篇iptables配置(/etc/sysconfig/iptables)操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

《Linux基础千锤百炼》v2.pdf

《Linux基础千锤百炼》是一本专注于Linux操作系统基础知识的深度学习资料,旨在帮助读者从入门到精通。...对于发现的错误或疑问,作者鼓励读者通过博客留言或电子邮件进行交流,体现了作者对知识传播的热情和严谨。
recommend-type

Vim/gVim中高效编辑Matlab脚本的技巧与工具介绍

从给定文件中,我们可以提取出以下知识点: ### MATLAB代码编辑与脚本运行 #### Vim/gVim中编辑Matlab脚本 1. **Matlab脚本在Vim/gVim中的编辑支持**:该存储库是专门为在Vim或gVim文本编辑器中编辑Matlab脚本而设计的插件。Vim和gVim是高级的文本编辑器,具有强大的插件系统,可以帮助用户提高编程效率。 2. **代码片段和模板的使用**:该插件允许用户快速插入预设的代码片段、习惯用语和注释,以保持代码的一致性和整洁。这些代码片段和模板存储于可扩展的模板库中,便于用户根据需要进行编辑或扩展。 3. **集成MATLAB代码检查器mlint**:插件集成了MATLAB的代码检查器“mlint”,这使得用户可以直接在编辑器中运行代码检查,对代码进行静态分析,并获取代码质量反馈。这对于提高代码的运行效率和减少bug非常有帮助。 4. **Matlab函数文档的快速访问**:该插件还为Matlab函数提供在线文档的快速访问,用户可以通过特定的命令或快捷键查看相关函数的官方文档说明,极大地加速了代码的开发和调试过程。 5. **脚本运行机制**:虽然文件中没有明确描述,但可以推断插件可能提供了一个运行Matlab代码的机制,允许用户从Vim或gVim环境中直接运行Matlab脚本或函数,而无需切换到Matlab的IDE。 #### 安装与使用 6. **兼容性**:该插件适用于Vim版本7.x。由于Vim和gVim都具有很高的跨平台性,此插件同样可以在不同操作系统上工作,包括但不限于Windows、Linux和macOS。 7. **系统范围的安装**:插件支持为所有用户进行系统范围的安装。这意味着安装的插件将适用于系统上的所有用户,并可能在系统级别进行配置。 8. **安装说明**:该存储库包含详细的安装指南,用户需要按照步骤进行操作。安装后,用户应查阅相关的帮助文档以了解更多功能和设置细节。 9. **帮助文件与快速入门**:为了帮助用户快速上手和解决可能遇到的问题,插件包含帮助文件“matlabsupport.txt”,并且可以通过Vim的帮助命令(例如:`:help matlabsupport-system`)获取更详细的信息。 ### 开源软件与系统 10. **开源性质**:该插件是一个开源项目,文件中提及的标签“系统开源”指的是该插件可以自由地被任何人使用、修改和分发。 11. **独立于MathWorks产品**:虽然该插件与Matlab紧密集成,但文件明确指出,该插件不是MathWorks公司提供的MATLAB软件的一部分,也没有与MathWorks公司关联。Matlab是MathWorks公司的注册商标。 ### 插件管理器与贡献 12. **插件管理器**:该存储库主要供插件管理器使用,意味着用户可以通过插件管理器方便地安装、更新或删除插件,这也表明了该插件易于集成到各种Vim插件管理器中。 13. **开发者与贡献**:文件提到了开发发生的位置,暗示了用户可以通过访问相应的存储库位置来获取源代码,参与贡献代码,或者跟踪开发进展。 ### 版权与商标 14. **版权声明**:该存储库的文件通常包含版权声明,指明了插件的版权归属以及任何第三方的商标或产品名称的使用。用户在使用插件时需要注意尊重原作者的版权和商标权利。 15. **商标声明**:MathWorks公司和MATLAB是其注册商标,文件中特别指出了这一点,以避免任何可能的法律纠纷或误解。 根据文件内容,以上知识点涵盖了使用Vim或gVim编辑Matlab脚本的插件的主要功能、安装和使用方法,以及相关的开源信息、版权和商标声明。
recommend-type

24小时精通TestNG框架:新手入门的完整指南

# 1. TestNG框架概述 TestNG是一个开源的自动化测试框架,主要用于Java语言编写测试脚本,但它也支持其他编程语言,比如Groovy。TestNG是一种改进版的JUnit,旨在简化测试用例的组织和执行,同时提供了许多额外的功能,比如并行测试执行、支持多种不同的测试类型以及能够容易地集成到构建工具和持续集成框架中。 TestNG的核心优势在于其灵活性和可扩展性,它允许测
recommend-type

CH340驱动预安装

### 如何进行CH340驱动的预安装 #### 准备阶段 确保拥有与操作系统匹配的正确版本的CH340驱动程序。可以从官方渠道获取最新的驱动包,例如通过提供的资源链接下载`CH340_Driver.zip`文件[^1]。 #### 下载与解压 点击仓库中的`CH340_Driver.zip`文件进行下载。下载完成后,使用解压缩工具打开ZIP文件,将其内容释放到指定位置以便后续访问和操作。 #### 执行预安装过程 进入已解压的文件夹内寻找名为`setup.exe`或其他形式的可执行安装文件,并双击启动它来触发安装流程。此时应遵循屏幕上的指示逐步完成整个设置向导的操作直至结束。 ###
recommend-type

WinCE 6.0 SDK与仿真器的安装指南

### 知识点一:WinCE 6.0 操作系统概述 Windows CE(也称为WinCE或Windows Embedded Compact)是一个专为嵌入式系统和移动设备设计的实时操作系统。该操作系统最初由微软公司于1996年发布,它提供了一套与Windows相似的API,并支持多种硬件平台。WinCE 6.0是该系列的第六个主要版本,提供了一系列改进的特性,比如更好的设备管理功能和用户界面。 ### 知识点二:SDK(软件开发工具包)的角色和作用 软件开发工具包(SDK)是一系列工具的集合,它为开发者提供必要的资源、文档、代码示例和库,以便能够为特定的软件包、软件框架、硬件平台、计算机系统、游戏机、操作系统等构建软件应用。在嵌入式开发领域,SDK通常包括编译器、调试器、模拟器和API文档等,是开发者进行应用开发的基础。 ### 知识点三:WinCE 6.0 SDK安装流程与依赖项 根据给定的描述,“WinCE 6.0 SDK(仿真器)”的安装需要特别注意两个主要文件:“WinCE开发随书代码.exe”和“ProgWinCE_SDK.msi”。通常,这类SDK会附带一个用户指南或安装说明,其中会详细说明安装前的系统要求、安装步骤和后续配置。 从描述来看,“ProgWinCE_SDK.msi”很可能是SDK的主要安装包,而“WinCE开发随书代码.exe”可能包含了SDK安装过程中可能用到的附加代码或示例,用以帮助开发者更好地理解和学习如何使用该SDK。尽管描述中提到,“随书代码.exe”不装也可以,但最佳实践是安装所有提供的组件,以便完整地体验和学习SDK所提供的全部功能。 ### 知识点四:开发环境的配置 安装完WinCE SDK之后,开发人员通常需要配置自己的开发环境,这可能包括安装和配置如下软件组件: 1. **集成开发环境(IDE)**:例如Visual Studio,它是一个非常流行的Windows应用程序开发环境,与WinCE SDK紧密集成,提供代码编写、调试和编译等功能。 2. **附加工具和组件**:这包括设备模拟器、远程调试工具、模拟器控制台等。这些工具允许开发者在没有物理硬件的情况下测试和调试他们的应用程序。 3. **硬件抽象层(HAL)**:HAL定义了操作系统与硬件之间的接口,是嵌入式系统开发中一个关键组件,因为它确定了SDK能够支持的硬件平台。 ### 知识点五:VS与WinCE SDK的集成 Visual Studio(VS)与WinCE SDK的紧密集成意味着开发者可以通过VS来管理SDK的所有方面。这包括项目创建、代码编写、编译、调试以及最终在目标设备或模拟器上运行应用程序。在配置开发环境时,确保VS与WinCE SDK正确集成是关键步骤,这通常涉及安装特定的SDK组件或者工具包,使得VS能识别并支持WinCE平台。 ### 知识点六:模拟器的使用和重要性 模拟器是一种软件程序,它模仿一个计算机系统或嵌入式设备的硬件环境。在WinCE SDK中,仿真器允许开发者在没有物理设备的情况下测试和运行应用程序。这对于确保程序在目标设备上的表现非常有用,因为它减少了开发过程中的硬件依赖性,并且可以在开发早期阶段发现潜在的问题。 使用模拟器还意味着开发人员可以进行快速的迭代测试,不需要每次都部署到真实的设备上。此外,模拟器通常支持调试和性能分析工具,允许开发者深入分析应用程序的行为。 ### 知识点七:标签中的“WinCE SDK 仿真器 模拟器 VS”关联 标签中提及的“WinCE SDK 仿真器 模拟器 VS”代表了在嵌入式开发环境中涉及的三个核心要素: - **WinCE SDK**:是提供给开发者的工具包,包含了开发WinCE应用所需的所有资源。 - **仿真器**:是SDK的一部分,用于模拟目标嵌入式设备的硬件环境,允许在没有实际硬件的情况下进行开发。 - **VS**:即Visual Studio,是集成开发环境,通过与SDK的集成,提供一个全面的平台来开发、测试和调试WinCE应用程序。 综上所述,标签中的三个关键词共同构成了嵌入式开发者在进行WinCE应用开发时的主要工作环境和工具链。 总结来说,WinCE 6.0 SDK及其仿真器提供了一个强大的平台,用于在Windows环境下开发嵌入式系统和移动设备应用程序。通过安装SDK、配置开发环境、利用Visual Studio集成以及使用仿真器,开发者可以有效地构建、测试和优化他们的应用程序,最终为特定硬件平台提供高质量的软件解决方案。
recommend-type

数据库概念深度解析:关系模型与ER模型的内在联系及应用

# 1. 数据库与关系模型的基础知识 数据库技术是现代信息社会的基础,它涉及到数据的存储、检索、更新和管理等多个方面。在这些功能的实现中,关系模型扮演了至关重要的角色。关系模型基于数学中的关系理论,并将数据以表格的形式组织,每张表格代表一个实体,表中的行称为记录,代表实体的具体实例,而列则对应实体的属性。