• analisis
  • authlog
  • dfir
  • forense
  • linux
  • logs

    • Parsear auth.log de Linux

    diciembre 28, 2023 Jesús Angosto

     No os ha pasado muchas veces que, y de cara a un incidente en una máquina Linux, toca analizar ese artefacto de logs para ver los inicios de sesión.... Exacto, hablamos de auth.log y sus Backus, los cuales pueden ser un dolor de h****s tener que analizarlos.

    Pues resulta que buscando por internet me he topado con una herramienta desarrollada por Eilay Yosfan, que nos va a solucionar estos quebraderos de cabeza.

    La herramienta en cuestión se llama AuthLogParser y funciona a las mil maravillas.


    ¿Qué es AuthLogParser?

    AuthLogParser es una potente herramienta diseñada específicamente para analizar registros de autenticación de Linux, comúnmente conocidos como auth.log. 

    Esta herramienta sirve como un activo invaluable para los servicios de respuesta a incidentes, ya que agiliza el proceso de investigación de incidentes de seguridad en sistemas Linux. 

    La herrramienta escanea auth.log archivo de registro, extrayendo información clave como inicios de sesión SSH, creaciones de usuarios, nombres de eventos, direcciones IP y más. 

    El resumen generado proporciona una descripción general clara y concisa de las actividades registradas en los registros de autenticación, presentando los datos en un formato fácilmente legible. Al mejorar la eficiencia y la accesibilidad,

    ¿Cómo funciona?

    La herramienta está escrita en Powershell, es válida para sistemas Windows y su uso es más que sencillo.

    Una vez que tengamos el repositorio clonado, tan solo hemos de abrir una terminal de powershell, navegar hasta el directorio descargado y ejecutarla de la siguiente forma:

    PS C:\Users\{UserName}\Desktop\AuthLogParser-main> .\AuthLogParser.ps1 "PATH\TO\YOUR\AUTH.LOG"

    y dejarla funcionar, hemos de ser consciente que a más tamaño de log más tardará la herramienta, pero los resultados obtenidos son muy buenos y nos hará ganar tiempo en nuestros análisis, sobre todo en los relacionados con respuestas a incidentes.

    Resumen

    Es una herramienta que deberías de tener en tu lista de herramientas de análisis ya que te agilizará mucho el trabajo aunque tarde en su ejecución con ficheros grandes, luego lo agradecerás :) ya que realmente da unos resultados muy buenos. Sin duda alguna gran trabajo de Eilay al crear esta herramienta y agradecerle el compartirla.

    You May Also Like

    Publicar un comentario

    0 Comentarios

    © Copyright , DFIR Spain DFIR Spain - Digital Forensics and Incident Response