No os ha pasado muchas veces que, y de cara a un incidente en una máquina Linux, toca analizar ese artefacto de logs para ver los inicios de sesión.... Exacto, hablamos de auth.log y sus Backus, los cuales pueden ser un dolor de h****s tener que analizarlos.
Pues resulta que buscando por internet me he topado con una herramienta desarrollada por Eilay Yosfan, que nos va a solucionar estos quebraderos de cabeza.
La herramienta en cuestión se llama AuthLogParser y funciona a las mil maravillas.
¿Qué es AuthLogParser?
¿Cómo funciona?
La herramienta está escrita en Powershell, es válida para sistemas Windows y su uso es más que sencillo.
Una vez que tengamos el repositorio clonado, tan solo hemos de abrir una terminal de powershell, navegar hasta el directorio descargado y ejecutarla de la siguiente forma:
PS C:\Users\{UserName}\Desktop\AuthLogParser-main> .\AuthLogParser.ps1 "PATH\TO\YOUR\AUTH.LOG"
y dejarla funcionar, hemos de ser consciente que a más tamaño de log más tardará la herramienta, pero los resultados obtenidos son muy buenos y nos hará ganar tiempo en nuestros análisis, sobre todo en los relacionados con respuestas a incidentes.
Resumen
Es una herramienta que deberías de tener en tu lista de herramientas de análisis ya que te agilizará mucho el trabajo aunque tarde en su ejecución con ficheros grandes, luego lo agradecerás :) ya que realmente da unos resultados muy buenos. Sin duda alguna gran trabajo de Eilay al crear esta herramienta y agradecerle el compartirla.
0 Comentarios