



Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
know-how:threat_intel [2023/03/29 11:52] – [Datenbank] ccknow-how:threat_intel [2023/03/29 11:55] – [Schnittstelle f. Datebank / Input der Daten] cc
Zeile 25: Zeile 25:
   * Storage Engine **default-storage-engine = Aria** - als Nachfolger von **myisam** - ich benötige Crash resistenten Table   * Storage Engine **default-storage-engine = Aria** - als Nachfolger von **myisam** - ich benötige Crash resistenten Table
 ===== Schnittstelle f. Datebank / Input der Daten ===== ===== Schnittstelle f. Datebank / Input der Daten =====
 +  * syslog-ng loggt direkt auf eine pipe / für das Skript macht es keinen Unterschied ob ein Logfile gelesen wird oder die Pipe geöffnet
 +// Shouldn't be used anymore
 +//declare(ticks = 1);
 +use GeoIp2\Database\Reader;
 +if(!isset($argc) || $argc !== 2 )
 + echo "\nParamters count wrong \n";
 + exit(2);
 + echo "\nCannot read: ".$input_file."\n";
 + exit(2);
 +$fp = fopen($input_file,"r");
 +global $entriesOk;
 +global $entriesFail;
 +$db_connection = new mysqli($db_servername,$db_username,$db_password,$db_name);
 + echo "\nCannot connect to database: $db_servername : $db_username : $db_name \n";
 + exit(2);
 +$insert_statement=$db_connection->prepare("INSERT into raw (hash,original,src,dst,dpt,spt,proto,country,originalDate) values (?,?,?,?,?,?,?,?,? )");
 +while( ($line=fgets($fp,1024)) !== false)
 + //echo $line."\n";
 +        $matches=array();
 + $matches_count=preg_match_all('/[A-Z]+=[A-Z,a-z,0-9,\.,:]+/i',$line,$matches);
 + if($matches_count > 1 )
 + {
 + $inputMaster=array();
 + $matches=$matches[0];
 + for($i=0; $i<count($matches); $i++)
 + {
 + $cut_array=explode("=",$matches[$i]);
 + if(count($cut_array)== 2)
 + {
 + $inputMaster[$cut_array[0]]=$cut_array[1];
 + }
 + }
 + //Jan 26 01:46:54
 + if(preg_match('/^[A-Z,a-z]{3}[ ]{1}[0-9]{1,2}[ ]{1}([0-9]{1,2}:){2}[0-9]{1,2}/i',$line,$matches_time)===0)
 + {
 + $inputMaster["timestamp"]=time();
 + $inputMaster["datetime"]= date("Y-m-d H:i:s",$inputMaster["timestamp"]);
 + $inputMaster["original_time"]=false;
 + }
 + else
 + {
 + $inputMaster["timestamp"]=strtotime($matches_time[0]);
 + $inputMaster["datetime"]= date("Y-m-d H:i:s",$inputMaster["timestamp"]);
 + $inputMaster["original_time"]=$matches_time[0];
 + }
 + $inputMaster["original_line"]=$line;
 + $inputMaster["hash"]=hash('sha256',$line);
 + if(isset($inputMaster["SRC"]))
 + {
 +                       $inputMaster["country"]=getCountry($inputMaster["SRC"]);
 + }
 + else
 + {
 + $inputMaster["SRC"]="00";
 + $inputMaster["country"]="00";
 + }
 + if(isset($inputMaster["DST"]))
 + {
 + $inputMaster["DST"]=hash('sha1',$inputMaster["DST"]);
 + }
 + else
 + {
 + $inputMaster["DST"]=hash('sha1',"00");
 + }
 + if(!isset($inputMaster["DPT"]) || strlen($inputMaster["DPT"])===0 )
 + {
 + $inputMaster["DPT"]=0;
 + }
 + if(!isset($inputMaster["SPT"]) || strlen($inputMaster["SPT"])===0 )
 + {
 + $inputMaster["SPT"]=0;
 + }
 + $entriesOk++;
 + $insert_statement->bind_param("ssssiisss",$inputMaster["hash"],$inputMaster["original_line"],$inputMaster["SRC"],$inputMaster["DST"],$inputMaster["DPT"],$inputMaster["SPT"],$inputMaster["PROTO"],$inputMaster["country"],$inputMaster["datetime"]);
 + //print_r($inputMaster);
 + if($insert_statement->execute())
 + {
 + $entriesOk++;
 + }
 + else
 + {
 + $entriesFail++;
 + echo "MYSQL Failure: ".$insert_statement->error."\n";
 + print_r($inputMaster);
 + }
 + if( !( $entriesOk % 1000) || !( $entriesFail %1000) )
 + {
 + echo "\nInsertion OK: $entriesOk \nInsertion FAIL: $entriesFail ";
 + echo "\nStats Entries handeled total: ".($entriesOk+$entriesFail);
 + }
 + }
 + else
 + {
 + $entriesFail++;
 + }
 +echo "\n Program quit !";
 +echo "\nInsertion OK: $entriesOk \nInsertion FAIL: $entriesFail ";
 +echo "\nStats Entries handeled total: ".($entriesOk+$entriesFail);
 +function getCountry($ip)
 +   $reader = new Reader('/usr/local/etc/dbip-country.mmdb');
 +   return $reader->country($ip)->country->isoCode;
 +catch(Exception $e)
 + return "00";
 +function exit_handler($signal)
 + echo "It's over'";
 + exit(2);
 ===== Logging ===== ===== Logging =====
know-how/threat_intel.txt · Zuletzt geändert: 2024/03/26 08:24 von cc