Marre d'éplucher des logs ?

Discussions sur les logiciels
Avatar du membre
cezame
Membre
Membre
Messages : 5263
Enregistré le : 09 avr. 2018, 12:29
Score de réactions : 49
Localisation : Triangle BFL
Âge : 75

Marre d'éplucher des logs ?

Message par cezame »

MasterParser - Un outil DFIR puissant pour analyser les logs Linux
Le 26 octobre 2024
par Korben -

Securite-Vie-PriveeCybersecurite

Aujourd’hui, on va causer d’un petit bijou de la DFIR (Digital Forensics and Incident Response) qui s’appelle MasterParser. C’est un outil qui a été conçu par Eilay Yosfan, qui bosse chez Security Joes en tant que Threat Researcher. Ce que fait son outil, c’est qu’il prend vos logs Linux et il les analyse pour en extraire toutes les infos utiles d’un point de vue sécurité. C’est hyper pratique pour les investigations forensic et la réponse aux incidents.

Imaginez, vous êtes tranquille devant vos écrans quand soudain, hop, alerte intrusion sur un de vos serveurs Linux ! Pas de panique, MasterParser est là… vous lui filez vos logs et il s’occupe du reste.

En quelques secondes, il va identifier tous les événements importants comme les connexions SSH, les créations de comptes, les changements de mots de passe, etc… et il vous sort ça dans un joli rapport bien synthétique, avec des tableaux et des stats.

Plus besoin de passer des heures à éplucher des logs à la main comme un noob puisqu’il fait le taf à votre place, et en plus il le fait bien. Si vous voulez voir à quoi ça ressemble, allez faire un tour sur le GitHub du projet, vous n’allez pas être déçus. Il y a même des exemples de rapports générés pour vous donner une idée. Et cerise sur le kernel, c’est open source !

D’ailleurs, le projet s’appelait initialement AuthLogParser et il était focalisé sur les fichiers auth.log. Mais face au succès de son bébé, Eilay a décidé de voir plus grand et de le renommer MasterParser, pour en faire un outil plus générique capable de gérer différents types de logs.

Maintenant, passons à la pratique. Comment on utilise cet outil génial ?

Clonez le repo GitHub de MasterParser ou téléchargez le zip.
Extrayez le dossier MasterParser-main sur votre bureau.
Ouvrez PowerShell et naviguez jusqu’au dossier MasterParser-main : cd "C:\Users\user\Desktop\MasterParser-main\"
Pour voir le menu des commandes, tapez : .\MasterParser.ps1 -O Menu
Placez vos fichiers de logs Linux dans le dossier 01-Logs.
Lancez l’analyse avec la commande : .\MasterParser.ps1 -O Start

Et voilà, en quelques clics vous avez votre rapport d’analyse des logs, propre et net. Ça vous changera des kilomètres de logs à vous farcir et avec ça, vous allez passer pro de la DFIR Linux en un rien de temps.



En savoir plus ? https://korben.info/masterparser-outil- ... linux.html
___
CS
Avatar du membre
solar10
Modérateur en chef
Modérateur en chef
Messages : 17460
Enregistré le : 01 nov. 2017, 12:15
Score de réactions : 176
Localisation : https://www.liege.be/fr/evenements/agenda
Âge : 61

Re: Marre d'éplucher des logs ?

Message par solar10 »

Merci Cezame :grin:
Internet: Edpnet XL [passé: _ - EDPNet - Scarlet - dxADSL - Scarlet One (NL) - Cybernet - Compuserve] + Fritz!Box 7530AX+4040
TV: TCL 50P616 UHD/HDR Android TV + Fransat CAM+Carte + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5 + Clone Betamax
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
NAS: Orange Pi 3 LTS avec boitier Fantec, 26TB, server OpenMediaVault
Antipub: Pi Zero with DietPi + PiHole + Unbound
Avatar du membre
sohka
Novice ⭐
Novice ⭐
Messages : 115
Enregistré le : 18 nov. 2017, 11:32
Score de réactions : 2

Re: Marre d'éplucher des logs ?

Message par sohka »

solar10 a écrit : 27 oct. 2024, 18:07 Merci Cezame :grin:
C'est quel type de remerciement, ça ? :grin:
Internet : edpnet VDSL XL
Tel fixe : VoIP OVH découverte
Tel mobile : hey! mobile S
Smartphone : GrapheneOS
PC : Secureblue (Fedora Atomic) & Windows 11
Avatar du membre
BXL1
Habitué ⭐⭐
Habitué ⭐⭐
Messages : 371
Enregistré le : 26 févr. 2022, 13:15
Score de réactions : 12
Localisation : Tubize

Re: Marre d'éplucher des logs ?

Message par BXL1 »

Très connu pour collecte, recherche et affichage des logs de toutes sortes: https://www.elastic.co/ (logstash->elasticsearch->kibana).
Pas encore regardé mais c'est prévu: Devoxx The Science of Signals: Mastering Telemetry for Observability