Logdatei (Allgemeines zu Perl)

[thread]16098[/thread]

Logdatei

Leser: 34

Articles: hide open all | hide show old branches

Teilbaum:
Logdatei (18 Artikel) 2011-03-29 11:30

+19 replies
QWERTZ7

2011-03-25 07:59
User since
2011-03-22
33 Artikel
BenutzerIn
Soo, also meine nächste Frage :)

Ich habe folgende Log-Datei (radius.log) (Auszug)
Code: (dl )

1 2 3 4 5

Wed Mar 23 13:00:28 2011 : Auth: Login OK: [00-11-0A-FA-FB-AA/NOPASSWORD] (from client kgn751 port 31045 cli 00-11-0A-FA-FB-AA) Wed Mar 23 13:01:02 2011 : Auth: Login OK: [00-0B-5D-0B-D6-44/NOPASSWORD] (from client WabeN7-55 port 11031 cli 00-0B-5D-0B-D6-44) Wed Mar 23 13:01:22 2011 : Auth: Login OK: [00-00-85-7B-44-F7/NOPASSWORD] (from client e1-110-west port 36 cli 00-00-85-7B-44-F7) Wed Mar 23 13:01:37 2011 : Auth: Login OK: [00-C4-FF-7F-34-07/NOPASSWORD] (from client e1-111-west port 76 cli 00-C4-FF-7F-34-07) Wed Mar 23 13:05:29 2011 : Auth: Login OK: [08-37-FF-0C-E7-39/NOPASSWORD] (from client e1-140-west port 3 cli 08-37-FF-0C-E7-39)
Die für mich wichtigen Daten sind einmal die Mac-Adressen und der Switch-Name (z.B. kgn51, e1-140-west usw)

Diese Datei soll nun auf folgende Mac-Adressen mit folgendem Vendor-Anteil untersucht werden:
Code: (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13

00-11-0A-**-**-** 00-10-83-**-**-** 00-01-E6-**-**-** 00-00-85-**-**-** 08-00-09-**-**-** 00-60-B0-**-**-** 00-C0-EE-**-**-**
Wichtig sind also nur die ersten 3 Bytes (also die ersten 3 "Päckchen").

Wird nun eine Mac-Adresse in der radius.log mit dem passenden Vendor-Anteil gefunden, soll eine .cfg Datei mit dem Namen des Switches angelegt werden und anschließend folgendes Kommando beinhalten:
Code: (dl )

show multiauth session mac VOLLSTÄNDIGE-MAC-ADRESSE
für jeden Switch der eine passende MAC beinhaltet soll also eine .cfg-Datei erstellt werden, die das Kommando für alle vorkommenden MACs beinhaltet.
Hoffe mal, dass ich mich verständlich ausgedrückt habe :)

Ist das machbar? :)

Gruß

modedit Editiert von pq: teilbaum
Last edited: 2011-03-28 12:30:48 +0200 (CEST)
- +12 replies
- rosti
  
  2011-03-25 13:39
  User since
  2011-03-19
  3212 Artikel
  BenutzerIn
  Machbar ist alles, aber alles mache ich nicht für dich ;)
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
  
  use strict; use IO::File; use File::stat; my $fh = new IO::File 'radius.log', O_RDONLY or die $!; my $st = stat($fh) or die $!; my $len = $st->[7]; my $data; read $fh, $data, $len; my @lines = split /\n/, $data; foreach my $line(@lines){ $line =~ /^(\w+\s+\w+\s+\d+\s+\d{2}:\d{2}:\d{2}\s+\d{4})\s+:\s+(\w+):(.*):\s+\[(.*)\]\s+$(.*)$$/; #printf "Date => %s, Auth => $2, Mesg => $3, MAC/X => $4, Client => $5\n", $1, $2, $3, $4, $5; printf "Client: %s\n", $5; }
  
  Du hast eigentlich alles in $5, auch die MAC-Addr. splitte $5 nach \s+ und den Rest kriegst du bestimmt selbst hin.
  - +11 replies
  - pq
    
    2011-03-25 13:49
    
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    haben zeile 10-12 hier irgendwelche vorteile gegenüber einem einfachen:
    my @lines = <$fh>;
    ?
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +2 replies
    - payx
      
      2011-03-25 14:00
      
      User since
      2006-05-04
      564 Artikel
      BenutzerIn
      
      gemeint sind die Zeilen 7-9, oder?
      - pq
        
        2011-03-25 14:03
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        also wenn ich es schon genau nehme, dann meinetwegen zeilen 7-12.
        7-9 tut ja nicht viel.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +8 replies
    - rosti
      
      2011-03-25 14:04
      
      User since
      2011-03-19
      3212 Artikel
      BenutzerIn
      
      2011-03-25T12:49:14 pq
      haben zeile 10-12 hier irgendwelche vorteile gegenüber einem einfachen:
      my @lines = <$fh>;
      ?
      
      Nein, ganz im Gegenteil: ein radius.log kann sehr groß werden, es ist besser, das log im Textmodus zu öffnen und zeilenweise durchzugehen. Ich habe das lediglich zum Testen der Expressions mal so gemacht.
      
      @lines = <$fh>;
      
      würde ich bei großen Dateien (> 5 MB) nicht machen.
      
      Rolf
      - +7 replies
      - pq
        
        2011-03-25 14:09
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2011-03-25T13:04:01 rosti
        Nein, ganz im Gegenteil: ein radius.log kann sehr groß werden, es ist besser, das log im Textmodus zu öffnen und zeilenweise durchzugehen. Ich habe das lediglich zum Testen der Expressions mal so gemacht.
        
        @lines = <$fh>;
        
        würde ich bei großen Dateien (> 5 MB) nicht machen.
        
        rosti, dass man bei grossen dateien nicht alle zeilen auf einmal einliest, steht auf einem anderen blatt. aber deine lösung liest genauso alle zeilen auf einmal ein wie meine.
        
        deine:
        
        Code (perl): (dl )
        
        1 2 3 4 5 6
        
        my $st = stat($fh) or die $!; my $len = $st->[7]; my $data; read $fh, $data, $len; my @lines = split /\n/, $data;
        
        vs.
        
        Code (perl): (dl )
        
        my @lines = <$fh>;
        
        meine frage war, welchen vorteil hat deine variante? also warum so umständlich?
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +6 replies
        
        rosti
        
        2011-03-25 14:25
        
        User since
        2011-03-19
        3212 Artikel
        BenutzerIn
        
        Achso, ja:
        
        es gibt keinen Vorteil. Es ist nur eine Gewohnheit von mir, eine Datei mit read() auf einen String zu lesen in einem Rutsch. An IO::File ist es ja das Schöne, dass die Konstanten für open und sysopen gleich mit importiert werden.
        
        Was meinerseits noch dahintersteckt, sofern die Datei auf einem String liegt, Idee: bestimmte Zeichen oder Teil-Strings in '{' oder '}' oder '=>' zu ersetzen womit eval dann alles mit einemMal in ein Objekt transformieren kann. Es gibt Dateien, die schreien direkt danach ;)
        
        Rolf
        
        pq
        
        2011-03-25 14:33
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2011-03-25T13:25:04 rosti
        es gibt keinen Vorteil. Es ist nur eine Gewohnheit von mir, eine Datei mit read() auf einen String zu lesen in einem Rutsch.
        
        also es sind 5 zeilen statt einer, es ist für perl doppelte arbeit (einmal alles in einen string lesen und dann nochmal splitten, dann haste auch noch den content zweimal im perl-speicher).
        manchmal muss man sich sachen mal ganz radikal abgewöhnen, wenn sich kein wirklicher vorteil ergibt =)
        
        und dateien in einem rutsch in einen scalar einlesen würde ich auch eher so machen:
        my $content = do { local $/; <$fh> };
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +4 replies
        
        topeg
        
        2011-03-25 14:37
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Im Speicher werden die Daten doppelt gehalten. Einmal in $data und einmal in @lines das halte ich für einen Nachteil.
        
        Die verhalten sich nicht mal äquivalent. beim einen werden die Newlines entfernt beim anderen nicht.
        
        Außerdem kann es passieren dass zu wenige Daten gelesen werden. Ich bin schon auf Betriebssysteme bzw. Dateisysteme gestoßen die haben die komprimierte Größe deiner Datei angezeigt nicht die tatsächliche. Hättest du davon so gelesen hättest du 50-70% der Datei vergessen.
        
        pq
        
        2011-03-25 14:52
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2011-03-25T13:37:55 topeg
        Die verhalten sich nicht mal äquivalent. beim einen werden die Newlines entfernt beim anderen nicht.
        
        stimmt, das detail war mir entgangen.
        chomp( my @lines = <$fh> );
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +2 replies
        
        rosti
        
        2011-03-25 17:58
        
        User since
        2011-03-19
        3212 Artikel
        BenutzerIn
        
        2011-03-25T13:37:55 topeg
        Im Speicher werden die Daten doppelt gehalten. Einmal in $data und einmal in @lines das halte ich für einen Nachteil.
        
        Das ist richtig. Nur: Ich hatte gerade eine andere Datei am Haken, da habe ich die hier gleich mit drangehängt um den Ausdruck zu testen.
        
        Quote
        Außerdem kann es passieren dass zu wenige Daten gelesen werden. Ich bin schon auf Betriebssysteme bzw. Dateisysteme gestoßen die haben die komprimierte Größe deiner Datei angezeigt nicht die tatsächliche. Hättest du davon so gelesen hättest du 50-70% der Datei vergessen.
        
        Ok, das OS. Was hat den stat() dazu ergeben?
        
        topeg
        
        2011-03-25 19:49
        
        User since
        2006-07-10
        2611 Artikel
        BenutzerIn
        
        Das ist etwas her.
        Wenn bei NTFS die Dateien komprimiert waren kam es manchmal vor, dass die Dateigröße 0 war.
        Linux 2.6.16 und CramFS und NFS2 wurde die Dateigröße auf der Festplatte angezeigt.
        Dann gab es Probleme mit dem ext2 IFS Treiber für Windows. Da stimmten die Größe nicht wenn die Dateien zu groß waren.
        Samba hatte auch mal die Neigung Dateigrößen nach den belegten Blöcken zu berechnen.
        Selbst bei ext2 konnte, wenn man die Blockgröße ändert die Dateigröße um ein paar Byte schwanken.
        Ich habe das jetzt nicht aktuell geprüft. Aber ich nutze "stat" nicht als exakte Angabe.
- +3 replies
- rosti
  
  2011-03-25 22:45
  User since
  2011-03-19
  3212 Artikel
  BenutzerIn
  Also, ich habe mir das nocheinmal angeschaut, Idee:
  
  -gehe zeilenweise durch die Logdatei
  -merke die Zeilennummer steht in "$."
  -schnappe dir ganz hinten das was zwischen den Klammern "(from client...)" steht, ersetze die Klammern () durch {} und splitte das innen drinnen nach Leerzeichen
  - dass sowas je Zeile rauskommt:
  
  Code: (dl )
  
  1 2
  
  1 => {client => "kgn751", cli => "00-00-85-7B-44-F7"} [1] [2] [5] [6] aus split
  
  Das übergibst du an eval, es entsteht ein Hash, den du vorzüglich bearbeiten kannst. Prüfe aber nach eval auf $@, $EVAL_ERROR, ob es funktioniert hat!
  
  Rolf
  - Linuxer
    
    2011-03-25 23:11
    User since
    2006-01-27
    3875 Artikel
    HausmeisterIn
    
    Wozu eval() bemühen?
    
    Es ist ein simples ASCII-Log, dass sich wunderbar parsen lässt.
    
    Ein Regex schnappt den Hostnamen hinter "client", ein anderer schnappt die MAC-Adresse hinter "cli" .
    Beide Ergebnisse lassen sich jeweils einer Variablen zuordnen und dann weiterverarbeiten (sprich überprüfen und in einen Hash ablegen, wenn notwendig):
    
    Code (perl): (dl )
    
    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
    
    #! /usr/bin/perl use strict; use warnings; while ( defined( my $line = <DATA> ) ) { # wenn beide Regex zutreffen if ( ( my ( $client ) = $line =~ m/client\s(\S+)/ ) # nach client steht der hostname && ( my ( $mac ) = $line =~ m/cli\s([-\da-fA-F]+)/ ) # nach cli steht die MAC ) { # tu was mit beiden ermittelten Werten print "$client: $mac\n"; } } __DATA__ Wed Mar 23 13:00:28 2011 : Auth: Login OK: [00-11-0A-FA-FB-AA/NOPASSWORD] (from client kgn751 port 31045 cli 00-11-0A-FA-FB-AA) Wed Mar 23 13:01:02 2011 : Auth: Login OK: [00-0B-5D-0B-D6-44/NOPASSWORD] (from client WabeN7-55 port 11031 cli 00-0B-5D-0B-D6-44) Wed Mar 23 13:01:22 2011 : Auth: Login OK: [00-00-85-7B-44-F7/NOPASSWORD] (from client e1-110-west port 36 cli 00-00-85-7B-44-F7) Wed Mar 23 13:01:37 2011 : Auth: Login OK: [00-C4-FF-7F-34-07/NOPASSWORD] (from client e1-111-west port 76 cli 00-C4-FF-7F-34-07) Wed Mar 23 13:05:29 2011 : Auth: Login OK: [08-37-FF-0C-E7-39/NOPASSWORD] (from client e1-140-west port 3 cli 08-37-FF-0C-E7-39)
    
    Last edited: 2011-03-25 23:12:44 +0100 (CET)
    meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
    Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - rosti
    
    2011-03-25 23:12
    User since
    2011-03-19
    3212 Artikel
    BenutzerIn
    
    Code: (dl )
    
    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
    
    use strict; use Data::Dump qw(dump); use Carp; my $res = {}; # Results my $i = 1; while(my $line = <DATA>){ $line =~ /$(.*)$/; my @in = split /\s+/, $1; my $s = qq($i => {$in[1] => "$in[2]", $in[5] => "$in[6]"}); #print "$s\n"; my $ref = eval($s) or croak "$@\n"; $res->{$i} = $ref; $i++; } print dump $res; __END__ Wed Mar 23 13:00:28 2011 : Auth: Login OK: [00-11-0A-FA-FB-AA/NOPASSWORD] (from client kgn751 port 31045 cli 00-11-0A-FA-FB-AA) Wed Mar 23 13:01:02 2011 : Auth: Login OK: [00-0B-5D-0B-D6-44/NOPASSWORD] (from client WabeN7-55 port 11031 cli 00-0B-5D-0B-D6-44) Wed Mar 23 13:01:22 2011 : Auth: Login OK: [00-00-85-7B-44-F7/NOPASSWORD] (from client e1-110-west port 36 cli 00-00-85-7B-44-F7) Wed Mar 23 13:01:37 2011 : Auth: Login OK: [00-C4-FF-7F-34-07/NOPASSWORD] (from client e1-111-west port 76 cli 00-C4-FF-7F-34-07) Wed Mar 23 13:05:29 2011 : Auth: Login OK: [08-37-FF-0C-E7-39/NOPASSWORD] (from client e1-140-west port 3 cli 08-37-FF-0C-E7-39)
    
    Data::Dump
    
    Code: (dl )
    
    1 2 3 4 5 6 7
    
    { 1 => { cli => "00-11-0A-FA-FB-AA", client => "kgn751" }, 2 => { cli => "00-0B-5D-0B-D6-44", client => "WabeN7-55" }, 3 => { cli => "00-00-85-7B-44-F7", client => "e1-110-west" }, 4 => { cli => "00-C4-FF-7F-34-07", client => "e1-111-west" }, 5 => { cli => "08-37-FF-0C-E7-39", client => "e1-140-west" }, }
- rosti
  
  2011-03-26 09:35
  
  User since
  2011-03-19
  3212 Artikel
  BenutzerIn
  
  zu MAC Zeugs, oui, vendors gibt es ein schönes CPAN-Modul:
  
  http://search.cpan.org/~bdfoy/Net-MAC-Vendor-1.18/...
  
  in der Source steht ein URL, wo die oui-Datei zu finden ist.
  
  Net::MAC::Vendor berücksichtigt auch die verschiedenen Schreibweisen einer MAC-Addr.
  
  Edit:
  Siehe auch http://search.cpan.org/~paulg/Logfile-Radius-1.14/...
  und guck mal, ob das Logfile passt.
  Last edited: 2011-03-26 09:44:44 +0100 (CET)
- +2 replies
- QWERTZ7
  
  2011-03-28 08:51
  User since
  2011-03-22
  33 Artikel
  BenutzerIn
  Danke schonmal an Alle für die vielen Antworten, ich arbeite mich gerade mal durch en ganzen Code den ihr gepostet habt :)
  
  Allerdings weiß ich nicht genau welchen Code ich jetzt als Ausgangsbasis nehmen sollte bzw. worin sich die ganzen Lösungen unterschieden und wie ich danach weiter ansetzen muss um ihn zu vervollständigen.
  Ich bin halt wirklich blutiger Perl-Anfänger.
  
  Aber ich könnte mal versuchen mein vorhaben in Pseudo-Code zu fassen so wie ich eure Lösungsvorschläe bis jetzt verstanden habe (rosti hatte es ja am Ende noch gut erklärt, aber für mich war selbst das schon zu hoch... *peinlich*)
  
  Also:
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9
  
  -Öffne Datei radius.log -gehe diese Datei Zeilenweise durch und teile jede Zeile auf (Trennungszeichen ist ein Leerzeichen) #So hätte man problemlos die MAC und den Switch in einem "Block" -Durchsuche den "MAC-Block" nun auf eine der folgenden Strings: 00-11-0A ODER 00-10-83 ODER 00-01-E6 ODER 00-00-85 ODER 08-00-09 ODER 00-60-B0 ODER 00-C0-EE -Bei einem Treffer nehme den Inhalt des "Switch-Blocks" und erstelle daraus eine Datei mit eben diesem Inhalt als Dateinamen und .cfg als Datei-Endung (vorher Prüfung ob Datei schon vorhanden, sonst lediglich Datei zum schreiben öffnen) schreibe danach den Inhalt des "MAC-Blocks" in die Datei. -Wiederhole diesen Schritt bis zum Ende der Datei
  
  Wie ich jetzt das aber genau in Code packe bzw. eure Codes weiterbaue... Wäre super wenn jemand mir das nochmal genauer erklären könnte :)
  
  Danke schonmal, vor Allem für eure Geduld!
  
  Gruß :)
  
  P.S.: Habe mir auch mal das CPAN-Modul angeschaut, glaube aber nicht, dass das nutzbar ist.
  Ich bin ja nicht wirklich auf die MAC-Adressen an sich aus sondern nur auf mehrere bestimmte String-Folgen die ich vergleichen und auslesen möchte.
  
  //Edit:
  Bin jetzt so weit, dass das Feld $mac alle Mac-Adressen beinhaltet und das Feld $switch alle Switch-Namen.
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
  
  use strict; use IO::File; use File::stat; my $fh = new IO::File 'radius.log', O_RDONLY or die $!; my $st = stat($fh) or die $!; my $len = $st->[7]; my $feld1; my $feld2; my $switch; my $feld4; my $feld5; my $feld6; my $mac; my $data; read $fh, $data, $len; my @lines = split /\n/, $data; foreach my $line(@lines){ $line =~ /^(\w+\s+\w+\s+\d+\s+\d{2}:\d{2}:\d{2}\s+\d{4})\s+:\s+(\w+):(.*):\s+\[(.*)\]\s+$(.*)$$/; #printf "Date => %s, Auth => $2, Mesg => $3, MAC/X => $4, Client => $5\n", $1, $2, $3, $4, $5; ($feld1,$feld2,$switch,$feld4,$feld5,$feld6,$mac)= split(/\s+/,$5); #Trennung durch Whitespace print "$switch\n"; #Gibt alle Switch-Namen untereinander aus }
  
  Wie muss ich nun weiter verfahren?
  Last edited: 2011-03-28 11:58:33 +0200 (CEST)
  - QWERTZ7
    
    2011-03-29 11:30
    
    User since
    2011-03-22
    33 Artikel
    BenutzerIn
    
    Weis niemand Rat?
    
    Ich komme gerade echt nicht weiter.
    
    Kann mir jemand etwas auf die Sprünge helfen? :)
    
    Gruß

View all threads created 2011-03-22 10:49.