利用Python实时读取fast.json或eve.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

时间: 2023-12-03 20:47:09 浏览: 22
可以使用Python的`json`和`subprocess`库来实现实时读取`fast.json`或`eve.log`,并对级别较低的预警进行主动响应。 下面是一个简单的示例代码: ```python import json import subprocess # 读取 fast.json 或 eve.log with open('fast.json') as f: data = json.load(f) # 找到级别 <= 2 的预警,并封禁相应的 IP for alert in data['alerts']: if alert['severity'] <= 2: ip = alert['src_ip'] subprocess.run(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) ``` 需要注意的是,上述代码只是一个示例,实际应用中还需要考虑一些细节问题,比如如何处理日志文件的变化、如何定期清除已封禁的 IP 等。
相关问题

利用Python实时读取fast.log或eve.json,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的`tail`模块来实时读取`fast.log`文件,或者使用`watchdog`模块来监听`eve.json`文件变化。 以下是一个示例代码,用于读取`fast.log`文件并对级别小于等于2的预警进行主动响应: ```python import subprocess import tail def block_ip(ip): # 调用iptables命令封禁IP subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) # 实时读取fast.log文件 t = tail.Tail('fast.log') t.register_callback(lambda x: block_ip(x.split()[0]) if int(x.split()[1]) <= 2 else None) t.follow() ``` 如果要监听`eve.json`文件变化,则可以使用`watchdog`模块: ```python import json import subprocess from watchdog.observers import Observer from watchdog.events import FileSystemEventHandler class MyEventHandler(FileSystemEventHandler): def on_modified(self, event): if event.src_path.endswith('.json'): with open(event.src_path, 'r') as f: data = json.load(f) if data['level'] <= 2: subprocess.call(['iptables', '-A', 'INPUT', '-s', data['src_ip'], '-j', 'DROP']) # 监听eve.json文件变化 observer = Observer() observer.schedule(MyEventHandler(), '.', recursive=True) observer.start() ``` 以上代码仅供参考,具体实现需要根据实际需求进行调整。同时,请注意iptables的使用规则,不当的使用可能会导致系统不稳定或者无法访问。

利用Python实时读取eve.json或fast.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的`json`和`subprocess`模块来实现这个功能。 首先,使用`json`模块读取`eve.json`文件中的内容: ```python import json with open('eve.json', 'r') as f: events = json.load(f) ``` 然后,遍历`events`列表,查找级别小于等于2的预警: ```python for event in events: if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) ``` 如果使用`fast.log`文件,可以使用`tail`命令实现实时读取: ```python import subprocess p = subprocess.Popen(['tail', '-f', 'fast.log'], stdout=subprocess.PIPE) while True: line = p.stdout.readline().decode('utf-8') if line: # 处理日志内容,判断是否需要封禁IP pass ```

相关推荐

docx

iptables.docx

iptables.docx
rar

iptables配置脚本_iptables配置脚本.sh_

最基础的iptables配置脚本,一键加固Linux防火墙
doc

IPTABLES指南.doc

IPTABLES指南.doc

利用Python实时读取fast.log,对级别 <=2 级的预警进行主动响应,调用iptables封禁ip

可以使用Python的 tail 模块来实时读取日志文件,然后使用正则表达式匹配日志信息中的级别和IP信息,如果级别小于等于2,则调用 iptables 命令封禁该IP。 以下是示例代码: python import re import ...

import re import subprocess import time log_file = '/var/log/suricata/fast.log' ip_set = set() while True: with open(log_file) as file: file.seek(0, 2) # 将文件指针移动到文件末尾 for line in file: match = re.search(r'\d+\.\d+\.\d+\.\d+', line) if not match: continue ip = match.group() if ip in ip_set: continue result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') ip_set.add(ip) else: print(f'封禁IP {ip} 失败!') time.sleep(5) 这段代码中并没有对Priority级别 <=2 级的预警进行主动响应,封禁ip,优化修改一下

可以考虑在程序中增加一个判断条件,来限制只对Priority级别大于2的预警进行主动响应封禁ip的操作。具体修改代码如下: import re import subprocess import time log_file = '/var/log/suricata/fast.log' ip...

import re import subprocess import time log_file = '/var/log/suricata/fast.log' ip_set = set() while True: with open(log_file) as file: file.seek(0, 2) # 将文件指针移动到文件末尾 for line in file: match = re.search(r'\d+\.\d+\.\d+\.\d+', line) if not match: continue ip = match.group() if ip in ip_set: continue result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') ip_set.add(ip) else: print(f'封禁IP {ip} 失败!') time.sleep(5) 这段代码中并没有对级别 <=2 级的预警进行主动响应,封禁ip,优化修改一下

可以考虑在代码中添加一个阈值,对于频繁出现的 IP 地址进行封禁。以下是优化后的代码: python import re import subprocess import time log_file = '/var/log/suricata/fast.log' ip_dict = {} while True:...

import json import subprocess with open('eve.json', 'r') as f: events = json.load(f) for event in events: if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP'])输出一个封禁成功的结果,完善代码

if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip...

import json import subprocess with open('/var/log/suricata/fast.log', 'r') as f: for line in f: try: event = json.loads(line) except json.JSONDecodeError: # 如果解析失败,则跳过这一行 continue if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!')修改优化一下,fast.log中内容并不是json格式

好的,那我们可以使用正则表达式来解析fast.log中的内容,而不是使用json。代码如下: python import re import subprocess with open('/var/log/suricata/fast.log', 'r') as f: for line in f: # 使用正则...

import json import subprocess with open('/var/log/suricata/fast.log', 'r') as f: events = json.load(f) for event in events: if event['alert']['severity'] <= 2: ip = event['src_ip'] # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!')修改优化一下这段代码

可以考虑以下几点进行优化: 1. 将代码封装成函数,方便复用。... if event['alert']['severity'] <= 2: ip = event['src_ip'] ban_ip(ip) 这样优化后的代码更具可读性和可维护性,也更加健壮。

import re import subprocess import time while True: with open('/var/log/suricata/fast.log', 'r') as f: for line in f: # 使用正则表达式匹配IP地址 match = re.search(r'\d+\.\d+\.\d+\.\d+', line) if not match: continue ip = match.group() # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!') time.sleep(5) # 每隔5秒读取一次日志 将这两行代码加入到上面代码中,应该如何修改优化file = open('/var/log/suricata/eve.json') file.seek(0, 2)

# 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!') while True...

import re import subprocess with open('/var/log/suricata/fast.log', 'r') as f: for line in f: # 使用正则表达式匹配IP地址 match = re.search(r'{TCP} \d+\.\d+\.\d+\.\d+', line) if not match: continue ip = match.group() # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!')如何实现实时读取日志内容并封禁ip

如果想实现实时读取日志并封禁IP,可以使用类似tail命令的方式读取日志,然后对新读取到的每一行进行处理。可以使用Python的subprocess模块中的Popen函数来实现。 下面是一个示例代码,用于实时读取/var/log/...

import re import subprocess import time file = open('/var/log/suricata/fast.log') file.seek(0, 2) while True: for line in file: # 使用正则表达式匹配IP地址 match = re.search(r'\d+\.\d+\.\d+\.\d+', line) if not match: continue ip = match.group() # 调用iptables命令封禁IP result = subprocess.call(['iptables', '-A', 'INPUT', '-s', ip, '-j', 'DROP']) if result == 0: print(f'封禁IP {ip} 成功!') else: print(f'封禁IP {ip} 失败!') time.sleep(5) # 每隔5秒读取一次日志 这段代码有问题,帮我优化修改一下

这段代码有几个问题: 1. 文件操作没有放在 while True 循环里面,导致只会...优化后的代码使用 set 存储已经封禁过的 IP 地址,每次循环只处理新出现的 IP 地址,并且通过文件指针记录上次读取的位置,避免重复读取。

iptables 永久封禁 14.155. 地址段

根据提供的引用内容,以下是使用iptables永久封禁14.155.地址段的方法: 1. 首先,打开终端并以root用户身份登录到系统。 2. 使用以下命令将14.155.地址段添加到iptables规则中: shell iptables -A INPUT -s ...

如果设置Iptables防火墙进行记录? 2.如何使Iptables将日志传递到系统日志文件,而不是控制终端?

该命令将Iptables的日志级别设置为warning,并将日志记录到/var/log/iptables.log文件中。最后,需要重启rsyslog服务以使更改生效: sudo service rsyslog restart 这样,所有来自Iptables的日志都会记录...
doc

iptables指南手册.doc

iptables指南手册.doc
sh

ban_iptables iptables封禁BT、PT、SPAM(垃圾邮件)和自定义端口、关键词脚本(510行).sh

SH脚本文件案例,BASH脚本文件参考,Linux脚本文件参考,sh脚本文件写法参考,SH脚本写法规范学习,bash脚本linux脚本规范学习,命令行管理工具封装,服务管理叫版本,一键启动,卸载,安装,重启,更新,统计,监控...
pdf

centOS7 下利用iptables配置IP地址白名单的方法

编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -...

最新推荐

recommend-type

Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)

通过分析nginx的日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
recommend-type

利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法

下面小编就为大家带来一篇利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

详解Android 利用Iptables实现网络黑白名单(防火墙)

主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

iptables配置(/etc/sysconfig/iptables)操作方法

下面小编就为大家带来一篇iptables配置(/etc/sysconfig/iptables)操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
recommend-type

防火墙白名单设置方法_iptables_centos6

防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6 防火墙白名单设置方法_iptables_centos6
recommend-type

zigbee-cluster-library-specification

最新的zigbee-cluster-library-specification说明文档。
recommend-type

管理建模和仿真的文件

管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
recommend-type

实现实时数据湖架构:Kafka与Hive集成

![实现实时数据湖架构:Kafka与Hive集成](https://img-blog.csdnimg.cn/img_convert/10eb2e6972b3b6086286fc64c0b3ee41.jpeg) # 1. 实时数据湖架构概述** 实时数据湖是一种现代数据管理架构,它允许企业以低延迟的方式收集、存储和处理大量数据。与传统数据仓库不同,实时数据湖不依赖于预先定义的模式,而是采用灵活的架构,可以处理各种数据类型和格式。这种架构为企业提供了以下优势: - **实时洞察:**实时数据湖允许企业访问最新的数据,从而做出更明智的决策。 - **数据民主化:**实时数据湖使各种利益相关者都可
recommend-type

用 Python 画一个可以动的爱心

好的,我可以帮助您使用Python来绘制一个动态的爱心。您可以使用turtle库来实现。以下是实现代码: ```python import turtle import math # 设置画布和画笔 canvas = turtle.Screen() canvas.bgcolor("black") pencil = turtle.Turtle() pencil.speed(0) pencil.color("red", "pink") pencil.pensize(3) # 定义爱心函数 def draw_love(heart_size, x_offset=0, y_offset=0):
recommend-type

JSBSim Reference Manual

JSBSim参考手册,其中包含JSBSim简介,JSBSim配置文件xml的编写语法,编程手册以及一些应用实例等。其中有部分内容还没有写完,估计有生之年很难看到完整版了,但是内容还是很有参考价值的。