MasterParser：针对Linux日志的数字取证与事件响应DFIR工具

FB客服

发布于 2024-07-31 10:16:06

14800

代码可运行

文章被收录于专栏：FreeBufFreeBuf

运行总次数：0

代码可运行

关于MasterParser

MasterParser是一款强大的数字取证和事件响应工具，可以帮助广大研究人员轻松分析var/log目录中的Linux日志。

MasterParser专为加快Linux系统上安全事件的调查过程而设计，能够快速地扫描支持的日志（例如auth.log），提取关键详细信息，包括SSH登录、用户创建、事件名称、IP地址等。该工具生成的摘要以清晰简洁的格式呈现这些信息，提高了事件响应者的效率和可访问性。

除了适用于DFIR团队之外，MasterParser对更广泛的信息安全和IT社区也具有不可估量的价值，旨在为快速全面评估Linux平台上的安全事件做出了重大贡献。

支持的日志格式

下面给出的是当前版本MasterParser支持扫描和分析的日志格式列表，在将来的更新中，MasterParser 将支持更多日志格式：

工具要求

PowerShell运行环境

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/securityjoes/MasterParser.git

除此之外，我们也可以直接访问该项目的【https://github.com/securityjoes/MasterParser/releases/tag/v2.5】下载最新版本的MasterParser源码。

工具使用

在PowerShell终端窗口中，切换到项目目录（MasterParser-main）：

PS C:\> cd "C:\Users\user\Desktop\MasterParser-main\"

使用下列命令可以查看工具的命令帮助菜单：

PS C:\Users\user\Desktop\MasterParser-main> .\MasterParser.ps1 -O Menu

在执行该工具之前，请先将 /var/log/*的全部日志拷贝到项目的01-Logs目录中，然后执行下列命令可以直接运行MasterParser：

PS C:\Users\user\Desktop\MasterParser-main> .\MasterParser.ps1 -O Start

工具运行演示

工具使用视频

演示视频：

https://private-user-images.githubusercontent.com/132997318/295858129-d26b4b3f-7816-42c3-be7f-7ee3946a2c70.mp4?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmF3LmdpdGh1YnVzZXJjb250ZW50LmNvbSIsImtleSI6ImtleTUiLCJleHAiOjE3MjA1

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

MasterParser：

https://github.com/securityjoes/MasterParser

https://www.linkedin.com/feed/update/urn:li:activity:7144214785243492352/ https://www.helpnetsecurity.com/2024/01/08/authlogparser-open-source-analyzing-linux-authentication-logs/ https://www.forensicfocus.com/interviews/eilay-yosfan-threat-researcher-security-joes/ https://www.helpnetsecurity.com/2024/03/25/essential-open-source-cybersecurity-tools/ https://endpointcave.com/newsletter/newsletter-7-2024/0

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2024-07-22，如有侵权请联系 cloudcommunity@tencent.com 删除

工具