python日志分析脚本
用python可以实现大日志文件的分析,比如查到sql注入语句,然后看到IP,就可以改下脚本,用IP为特征取出日志,分析入侵过程。
python比较shell/ target=_blank class=infotextkey>shell脚本的优点是速度快,性能好,跑1G日志文件也就几秒钟。
使用参数:seay.py E:/1.log
python日志分析脚本:
#coding = utf8
#Filename = seay.py
import os
import sys
#特征,可以随意改,两块五一次
_tezheng = {'union','select','file_put_contents'}
def CheckFile(_path):
_f = open(_path,"r")
_All_Line = _f.readlines()
_f.close()
_Count_Line =0
_Len_Line = len(_All_Line)
_Ex_Str = ''
print('Read Over --')
while _Count_Line<_Len_Line:
_Str = _All_Line[_Count_Line]
for _tz_Str in _tezheng:
if _tz_Str in _Str: #可以加and条件,这个贵一点,5毛一次
_Ex_Str+=_tz_Str+_Str+'rn'
_Count_Line+=1
_f1 = open(_path+'.seay.txt',"w")
_f1.write(_Ex_Str)
_f1.close()
print 'Find Over--'
if len(sys.argv)==2:
_File = sys.argv[1]
if os.path.lexists(_File):
CheckFile(_File)
else:
print('File does not exist!')
else:
print 'Parameter error'
print sys.argv[0]+' FilePath'
文件为:原文件名.seay.txt在同目录下,格式为匹配的特征+日志,效果:
