MasterParser是一款强大的数字取证和事件响应工具,可以帮助广大研究人员轻松分析var/log目录中的Linux日志。
MasterParser专为加快Linux系统上安全事件的调查过程而设计,能够快速地扫描支持的日志(例如auth.log),提取关键详细信息,包括SSH登录、用户创建、事件名称、IP地址等。该工具生成的摘要以清晰简洁的格式呈现这些信息,提高了事件响应者的效率和可访问性。
除了适用于DFIR团队之外,MasterParser对更广泛的信息安全和IT社区也具有不可估量的价值,旨在为快速全面评估Linux平台上的安全事件做出了重大贡献。
下面给出的是当前版本MasterParser支持扫描和分析的日志格式列表,在将来的更新中,MasterParser 将支持更多日志格式:
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/securityjoes/MasterParser.git
除此之外,我们也可以直接访问该项目的【https://github.com/securityjoes/MasterParser/releases/tag/v2.5】下载最新版本的MasterParser源码。
在PowerShell终端窗口中,切换到项目目录(MasterParser-main):
PS C:> cd "C:UsersuserDesktopMasterParser-main"
PS C:UsersuserDesktopMasterParser-main> .MasterParser.ps1 -O Menu
在执行该工具之前,请先将 /var/log/*的全部日志拷贝到项目的01-Logs目录中,然后执行下列命令可以直接运行MasterParser:
PS C:UsersuserDesktopMasterParser-main> .MasterParser.ps1 -O Start
https://private-user-images.githubusercontent.com/132997318/295858129-d26b4b3f-7816-42c3-be7f-7ee3946a2c70.mp4?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmF3LmdpdGh1YnVzZXJjb250ZW50LmNvbSIsImtleSI6ImtleTUiLCJleHAiOjE3MjA1
https://github.com/securityjoes/MasterParser
原文始发于微信公众号(FreeBuf):MasterParser:针对Linux日志的数字取证与事件响应DFIR工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2983409.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论