Foro - Perl en Español

por **tecolyn** » 2017-08-28 19:56 @872

Buenos días, Foro de Perl.

Comunidad: les solicito su ayuda.

Tengo el siguiente problema. Tengo un log grande, pero recorté únicamente las líneas con las que estuve haciendo la prueba.

El tema es que no consigo obtener los valores que necesito, únicamente haciéndolo por separado.

El log es el siguiente:

Sintáxis: [ Descargar ] [ Ocultar ]

Using text Syntax Highlighting

Aug 25 15:50:05 casamx-server1 microsoft-windows-security-auditing[success] 4660 An object was deleted.Subject:Security ID:S-1-5-21-4082760969-1594227233-3128182536-500Account Name:AdministratorAccount Domain:casaLogon ID:0xa0574Object:Object Server:SecurityHandle ID:0x124cProcess Information:Process ID:0x1918Process Name:C:\Windows\explorer.exeTransaction ID:{00000000-0000-0000-0000-000000000000} 

Aug 25 15:50:05 casamx-server1 microsoft-windows-security-auditing[success] 4663 An attempt was made to access an object.Subject:Security ID:S-1-5-21-4082760969-1594227233-3128182536-500Account Name:AdministratorAccount Domain:casaLogon ID:0xa0574Object:Object Server:SecurityObject Type:FileObject Name:C:\FIM\ServerWeb.xmlHandle ID:0x124cResource Attributes:S:AIProcess Information:Process ID:0x1918Process Name:C:\Windows\explorer.exeAccess Request Information:Accesses: DELETEAccess Mask:0x10000Coloreado en 0.000 segundos,  usando GeSHi 1.0.8.4

Lo que yo requiero es unir estas dos líneas de log en un sola para así, por medio de expresiones regulares, obtener algunos valores.

Cabe señalar que el evento 4660 y 4663 siempre vienen así: primero el 4660 y le sigue el 4663 pero no he podido realizarlo. Hasta ahorita llevo lo siguiente:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!/usr/bin/perl
my @f_deleted;
my $f_deleted = 1;
my $log = "busqueda.log";
open MYLOG,$log;
$f_deleted[0]= "<-FECHA,HORA,SERVIDOR,USUARIO,TIPO,REALIZO,ARCHIVO->";
while (<mylog>){
if ( $_ =~ /(?<FECHA>\w{3}\s+\d+)\s(?<HORA>\d+:\d+:\d+)\s(?<SERVIDOR>\w+-\w+).*ss].4663.\w.*..Subject.*Account.*Name:(?<USUARIO>.*).Account.Domain.*.Object.Type:.*Name:.(?<ARCHIVO>.*).Handle.*Accesses:.(?<REALIZO>\w+).*Mask:0x10000.*$/) {
$f_deleted[$f_deleted] = "<-$+{FECHA},$+{HORA},$+{SERVIDOR},$+{USUARIO},$+{ARCHIVO},$+{REALIZO}->";
                $f_deleted += 1;
}
}
close MYLOG;
Coloreado en 0.002 segundos,  usando GeSHi 1.0.8.4

Con esta parte del código únicamente obtengo los valores del evento 4663 pero lo que necesito es que el programa me valide primero la línea que tiene 4660 y se salte a la segunda a extraer los valores.

Me podrán echar una mano.

Saludos.

Bienvenido a los foros de Perl en Español, tecolyn.

Lo que se podría hacer es ampliar la expresión regular para que valide el evento 4660.

Me explico: en la expresión regular buscas por los detalles del 4664. Bueno, pues se trataría de aumentar esa expresión regular con los detalles de la 4660.

De esa manera, estás buscando por dos líneas consecutivas que respondan a ese patrón.

Pero... habría problemas si no son consecutivas. Quiero decir, si después del evento 4660 hay más líneas que no son 4663. ¿Y si alguna de esas líneas intermedias son más eventos 4660?

Aquí hay un ejemplo de código que detecta el caso de que los dos registros vayan seguidos. Pero es fácil de modificar para contemplar el caso de que existan varias líneas entre ellos.

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!/usr/bin/env perl
use v5.26;
use utf8;
use autodie;
#use Regexp::Debugger;
 
 
## Definición de patrones
my $s           = qr/\s+/;
my $rx_FECHA    = qr/(?<FECHA> \w{3} $s \d+)            /x;
my $rx_HORA     = qr/(?<HORA>  \d{2} : \d{2} : \d{2})   /x;
my $rx_SERVIDOR = qr/(?<SERVIDOR> \S+ )                 /x;
my $rx_PROCESO  = qr/\S+ \[ \w+ \]                      /x;
my $rx_PREFIJO  = qr/$rx_FECHA $s $rx_HORA $s $rx_SERVIDOR $s $rx_PROCESO/x;
 
my $eol         = qr/(?:\x7f|$)/;
my $rx_USUARIO  = qr/Account [ ] Name: \s* (?<USUARIO> .+?) $eol/x;
my $rx_ARCHIVO  = qr/Object  [ ] Name: \s* (?<ARCHIVO> .+?) $eol/x;
my $rx_REALIZO  = qr/Accesses:             (?<REALIZO> .+?) $eol/x;
 
my $rx_REGISTRO_4660 = qr/ ^ $rx_PREFIJO $s 4660 .+? $ /mx;
my $rx_REGISTRO_4663
    = qr/
        ^
        $rx_PREFIJO     $s
        4663            .+?
        $rx_USUARIO     .+?
        $rx_ARCHIVO     .+?
        $rx_REALIZO     .+?
        $
/mx;
 
## Procesamiento
my $archivo_log = 'code_40368.txt';
my $log;
do {
    undef $/;                                   # modo aspiradora
    open my $MYLOG, $archivo_log;
    $log = <$MYLOG>;                            # leemos todo el archivo de golpe
    close   $MYLOG;
};
 
while ($log =~ /$rx_REGISTRO_4660 \n $rx_REGISTRO_4663/gx) {
    say "Evento 4660-4663:";
    say "\t$_ => $+{$_}" for keys %+;
}
 
#my @campos = split /\x7f/, $línea;
#say for @campos;
#$línea =~ tr/\x7f/\n/;
 
__END__
Coloreado en 0.002 segundos,  usando GeSHi 1.0.8.4

La salida es algo así:

Sintáxis: [ Descargar ] [ Ocultar ]

Using text Syntax Highlighting

Evento 4660-4663:

        SERVIDOR => casamx-server1

        FECHA => Aug 25

        ARCHIVO => C:\FIM\ServerWeb.xml

        USUARIO => Administrator

        HORA => 15:50:05

        REALIZO =>  DELETEColoreado en 0.000 segundos,  usando GeSHi 1.0.8.4

Otra cosa...

Lo que haces con $f_deleted += 1; se hace de forma más cómoda con push() (agregar un registro a un array).

Foro - Perl en Español

Unir dos expresiones

Unir dos expresiones

Publicidad

Re: Unir dos expresiones

¿Quién está conectado?