pogo是一个实用程序,用于将honssh蜜罐生成的数据放入elasticsearch数据库。
pogo的Python项目详细描述
一个是一个用来将一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个由一个霍霍霍===
解析honssh生成的数据文件,并将信息插入elasticsearch
数据库。它并没有为您设置ElasticSearch服务器——它假设您已经设置好了
或即将设置;否则,这个工具对您不太好。
POGO严格来说是一个"后端"工具;它根本无法帮助您显示
honssh实例生成的信息,但只能将信息放入elasticsearch。
当pogo运行时,它会检查其配置文件(见下文)中指定的目录中的
数据文件。它忽略当前日期的任何内容-处理任何较旧的内容。一旦
它们被处理,它们就被收集到存档文件中(默认情况下为tarred和bzipped),然后
原始文件被删除。您应该不时删除较旧的存档文件,以避免将磁盘填满。
pogo的正常使用方法是从cron作业运行它,但如果需要,您可以手动运行它。在其默认配置中,它确实需要根权限,因为它正在写入不属于它的目录。
(请参见下面的
了解安装信息。)
这意味着pip不会安装它,除非您在命令中添加"-pre"来告诉它预发行版本是正常的。因此,要使用pip安装pogo,do(作为根用户):
pip install--pre pogo
我发现使用easy_install安装
pogo并不安装配置文件,因此如果这样做,您将需要
手动创建配置文件。我不知道这是不是因为我的软件包设置不正确,还是因为easy_install的工作方式固有的,但是无论如何,现在只需使用pip即可。
默认安装安装:
*/usr/local/bin/pogo-可执行文件
*/etc/pogo.cfg-默认配置文件
*/etc/logrotate.d/pogo-默认logrotate配置
*/usr/local/lib/python-2.7/dist-packages/pogo-python库
*/usr/local/lib/python-2.7/dist-packages/pogo-<;version>;。egg info-有关包的元数据
如果要安装到不同的位置,请参阅pip或easy_install的帮助页。
运行pip安装命令后:
*根据需要或需要更改pogo.cfg。
*如果需要或需要,请将pogo.cfg移到另一个目录。如果目录不在本文档配置文件部分给出的列表中,请根据需要编辑util/config.py。
*根据需要对logrotate配置文件进行更改。
用法
----
如前所述,pogo通常通过cron作业运行。作为根用户,编辑crontab以在您需要的时间间隔添加对pogo的调用。例如,如果您想在每天凌晨3:05运行它,您可以(以根用户身份):
crontab-e
这将在默认文本编辑器中打开crontab文件。在文件末尾添加以下行:
5 3**/usr/local/bin/pogo
保存文件并退出编辑器。
通过
编辑配置文件(见下文)。
e称为"pogo.cfg;"如果找到了,pogo从那里读取其配置,
否则使用默认设置。
,并更改任何设置以匹配您的环境。特别是,您可能需要
来指定ElasticSearch服务器的主机名或IP地址。另外,在第一次或第二次运行该程序时,您可能希望将日志记录级别设置为INFO以显示更多信息。(当您确信pogo运行正常后,您可能需要将其设置回warning以节省磁盘空间。)
按此顺序:
*/etc/default
*/etc/pogo
*/usr/local/share/pogo
*~/.config/pogo/("~"表示运行pogo的用户[可能是根用户]的主目录。)
*程序启动的目录
如果从/etc移动pogo.cfg,请将其移动到其中一个目录位置,或编辑文件util/config.py,
作为pogo的一部分安装的库文件之一。
配置文件的格式是python configparser模块使用的格式--有关详细信息,请参阅此处的正式python文档:https://docs.python.org/2/library/configparser.html。
[main]
debug可以是0或1;但是,目前不使用此设置。
top-dir=%(top-dir)s/logs/logs/logs/logs
>archi-dir=%(top-dir)s/archi(top-dir)s/archives
[locations]部分指定了[locations]部分指定的[地点]部分指定的具体位置。是的程序应该在何处查找由honssh生成的各种类型的数据文件,以及归档文件应该存储在何处。
顺便说一下,"尝试"指的是用户名、密码和其他与试图登录的入侵者相关联的信息。
默认情况下是相对于"top_dir,"这是一个基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础部分显示pogo如何连接到数据库。注意:这里提到的数据库
不是您的elasticsearch数据库,而是另一个用于在处理honssh生成的文件时临时存储的数据库。
到目前为止,唯一支持的数据库类型是sqlite3,没有主机、端口、用户,或者需要设置密码;只需要目录和数据文件名。当
pogo运行时,它会检查此配置中命名的数据库文件是否存在,
并在不存在时创建和初始化它。如果您希望sqlite3文件不是/usr/local/share/pogo/db/pogo.db,在这里指定。
[elasticsearch]
将本节中的信息更改为elasticsearch数据库的值。
这些值应与相同服务器上的值一样工作主机为pogo,除非在elasticsearch的配置中更改了
默认设置。顺便说一句,timeout
参数以秒为单位。
[日志记录]
level=warning
只要一切正常。
有关更详细的日志记录,请将其更改为info,调试以获得更详细的输出。
解析honssh生成的数据文件,并将信息插入elasticsearch
数据库。它并没有为您设置ElasticSearch服务器——它假设您已经设置好了
或即将设置;否则,这个工具对您不太好。
POGO严格来说是一个"后端"工具;它根本无法帮助您显示
honssh实例生成的信息,但只能将信息放入elasticsearch。
当pogo运行时,它会检查其配置文件(见下文)中指定的目录中的
数据文件。它忽略当前日期的任何内容-处理任何较旧的内容。一旦
它们被处理,它们就被收集到存档文件中(默认情况下为tarred和bzipped),然后
原始文件被删除。您应该不时删除较旧的存档文件,以避免将磁盘填满。
pogo的正常使用方法是从cron作业运行它,但如果需要,您可以手动运行它。在其默认配置中,它确实需要根权限,因为它正在写入不属于它的目录。
(请参见下面的
了解安装信息。)
这意味着pip不会安装它,除非您在命令中添加"-pre"来告诉它预发行版本是正常的。因此,要使用pip安装pogo,do(作为根用户):
pip install--pre pogo
我发现使用easy_install安装
pogo并不安装配置文件,因此如果这样做,您将需要
手动创建配置文件。我不知道这是不是因为我的软件包设置不正确,还是因为easy_install的工作方式固有的,但是无论如何,现在只需使用pip即可。
默认安装安装:
*/usr/local/bin/pogo-可执行文件
*/etc/pogo.cfg-默认配置文件
*/etc/logrotate.d/pogo-默认logrotate配置
*/usr/local/lib/python-2.7/dist-packages/pogo-python库
*/usr/local/lib/python-2.7/dist-packages/pogo-<;version>;。egg info-有关包的元数据
如果要安装到不同的位置,请参阅pip或easy_install的帮助页。
运行pip安装命令后:
*根据需要或需要更改pogo.cfg。
*如果需要或需要,请将pogo.cfg移到另一个目录。如果目录不在本文档配置文件部分给出的列表中,请根据需要编辑util/config.py。
*根据需要对logrotate配置文件进行更改。
用法
----
如前所述,pogo通常通过cron作业运行。作为根用户,编辑crontab以在您需要的时间间隔添加对pogo的调用。例如,如果您想在每天凌晨3:05运行它,您可以(以根用户身份):
crontab-e
这将在默认文本编辑器中打开crontab文件。在文件末尾添加以下行:
5 3**/usr/local/bin/pogo
保存文件并退出编辑器。
通过
编辑配置文件(见下文)。
e称为"pogo.cfg;"如果找到了,pogo从那里读取其配置,
否则使用默认设置。
,并更改任何设置以匹配您的环境。特别是,您可能需要
来指定ElasticSearch服务器的主机名或IP地址。另外,在第一次或第二次运行该程序时,您可能希望将日志记录级别设置为INFO以显示更多信息。(当您确信pogo运行正常后,您可能需要将其设置回warning以节省磁盘空间。)
按此顺序:
*/etc/default
*/etc/pogo
*/usr/local/share/pogo
*~/.config/pogo/("~"表示运行pogo的用户[可能是根用户]的主目录。)
*程序启动的目录
如果从/etc移动pogo.cfg,请将其移动到其中一个目录位置,或编辑文件util/config.py,
作为pogo的一部分安装的库文件之一。
配置文件的格式是python configparser模块使用的格式--有关详细信息,请参阅此处的正式python文档:https://docs.python.org/2/library/configparser.html。
[main]
debug可以是0或1;但是,目前不使用此设置。
top-dir=%(top-dir)s/logs/logs/logs/logs
>archi-dir=%(top-dir)s/archi(top-dir)s/archives
[locations]部分指定了[locations]部分指定的[地点]部分指定的具体位置。是的程序应该在何处查找由honssh生成的各种类型的数据文件,以及归档文件应该存储在何处。
顺便说一下,"尝试"指的是用户名、密码和其他与试图登录的入侵者相关联的信息。
默认情况下是相对于"top_dir,"这是一个基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础性的基础部分显示pogo如何连接到数据库。注意:这里提到的数据库
不是您的elasticsearch数据库,而是另一个用于在处理honssh生成的文件时临时存储的数据库。
到目前为止,唯一支持的数据库类型是sqlite3,没有主机、端口、用户,或者需要设置密码;只需要目录和数据文件名。当
pogo运行时,它会检查此配置中命名的数据库文件是否存在,
并在不存在时创建和初始化它。如果您希望sqlite3文件不是/usr/local/share/pogo/db/pogo.db,在这里指定。
[elasticsearch]
将本节中的信息更改为elasticsearch数据库的值。
这些值应与相同服务器上的值一样工作主机为pogo,除非在elasticsearch的配置中更改了
默认设置。顺便说一句,timeout
参数以秒为单位。
[日志记录]
level=warning
只要一切正常。
有关更详细的日志记录,请将其更改为info,调试以获得更详细的输出。
欢迎加入QQ群-->: 979659372
