私はまだ完全なLinux bashスクリプトについてはあまり慣れていません。私はこのコードを見つけましたが、残念ながら小さなファイル(193KiB)を実行するのに少し時間がかかります。
real 0m7.234s user 0m6.772s sys 0m3.486s
見て、改善やヒントを提供していただきありがとうございます!
#!/bin/bash
#
while read line; do
RNAME=$(echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | sed 's/^.*\(ET CINS Active Threat Intelligence Poor Reputation.*\)/\1/g' | sed 's/".*//')
RSID=$(echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | grep -o "sid:.*" | awk '{print $1}' | rev | cut -c 2- | rev | cut -c 5-)
echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | awk '{print "'"$RSID"'" " " "\"[;][)]\"" " " "\"" "; fwsam: src[either], 1 hour;)\"; # " "'"$RNAME"'" }'# >> /tmp/snortsam-rules.txt
echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | awk '{print "'"$RSID"'" " " "\"\\(msg:\"\" \"(msg:\"[SNORTSAM] \"; # " "'"$RNAME"'" }' >> /tmp/snortsam-rules.txt
done < /etc/snort.d/rules/emerging-threats/emerging-ciarmy.rules
ファイルの内容を入力してください。
alert tcp [1.11.244.148,1.119.129.16,1.119.133.214,1.119.144.196,1.163.25.190,1.170.159.97,1.173.65.136,1.177.142.203,1.177.220.170,1.177.251.214,1.180.189.18,1.180.208.131,1.180.208.132,1.180.233.23,1.186.176.220,1.186.176.246,1.186.220.92,1.186.235.187,1.192.123.218,1.192.145.246,1.202.225.53,1.202.65.39,1.215.230.46,1.221.225.138,1.228.102.199,1.230.44.160,1.232.113.151,1.234.1.70,1.234.4.14,1.239.35.88,1.24.156.110,1.245.107.90,1.247.184.111,1.251.177.206,1.253.135.172,1.254.20.189,1.254.47.75,1.28.202.11,1.28.202.16,1.31.87.35,1.32.200.123,1.32.216.88,1.32.47.74,1.33.73.100,1.34.113.192,1.34.158.177,1.34.209.99,1.34.21.27,1.34.2.152,1.34.28.244] any -> $HOME_NET any (msg:"ET CINS Active Threat Intelligence Poor Reputation IP TCP group 1"; flags:S; reference:url,www.cinsscore.com; reference:url,www.networkcloaking.com/cins; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2403300; rev:40471;)
出力サンプルコード:
2403300 "[;][)]" "; fwsam: src, 1 hour;)"; # ET CINS Active Threat Intelligence Poor Reputation IP TCP group 1
基本的に私が望むのは、上記の出力例コードのように、入力の一部を取得してファイルに保存することです。
答え1
メモ:
- ファイルから個々の行を読み取り、各行で複数のプログラムを複数回実行すると、非常に遅くなります。
- 各実行については上記を参照してください
echo $line | ...
。
これらのほとんどはawk自体で行うことができます。
awk -v fmt1='%s "[;][)]" "; fwsam: src, 1 hour;)"; # %s\n' -v fmt2='%s "\\(msg:"" "(msg:"[SNORTSAM] "; # %s\n' '/ET CINS Active Threat Intelligence Poor Reputation/ {
rname = gensub(/.*(ET CINS Active Threat Intelligence Poor Reputation [^"]*).*/, "\\1", 1)
rsid = gensub(/.*ET CINS Active Threat Intelligence Poor Reputation.*sid:(.*); .*/, "\\1", 1)
printf fmt1, rsid, rname
printf fmt2, rsid, rname
}' input-file
メモ:
- 特定の出力形式を取得するために複雑なエスケープを実行する代わりに、次のようにします。
printf
書式文字列を含めます。外部で定義された2つのawk変数(-v fmt1=...
、、)を型文字列として使用して、-v fmt2=...
多くの引用を避けました。 echo ... | grep ... | awk
パターンが一致した場合にのみ印刷しました。これは、パターンに一致する行でのみRun操作を使用してgrep
awk自体内で簡単に実行できます。/pattern/ { action }
- そしてコマンドの操作は正規表現で簡単に行われます
rev | cut | rev | cut
。sed ... | sed
必要な文字グループを維持するだけです。