Перейти к содержимому


Фото
- - - - -

Парсер логов DrWeb ESS


  • Please log in to reply
9 ответов в этой теме

#1 Anatrolliy

Anatrolliy

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 29 Июнь 2022 - 14:27

Коллеги, добрый день.
Поделитесь, пожалуйста, кто чем просматривает логи? Блокнотом неудобно, стандартный из набора MS SCCM тул Trace Log не парсит логи DrWeb, а зачастую некорректно подсвечивает события и мега тормознутый. 
Например, spiderg3.log - простыни текста, которые в теории можно распарсить и представить в удобном виде для изучения, поиска, сортировки.
Наверняка же есть какие-то наработки в этой части? С подсветкой, парсингом, поиском по типу событий? Можете поделиться?
 
И дополнительный вопрос. В указанном логе есть условные обозначения, как например ниже сразу после даты и времени в квадратных скобках. Где найти описание этих обозначений и вообще описание структуры лог-файлов? 

20220629.120127.755 [3068] [CL,LO] C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - Ok (2K 2/1ms 1087KB/s) [C:\windows\system32\svchost.exe:828:64] {S-1-5-19:S-1-5-19}

Благодарю.


Сообщение было изменено Anatrolliy: 29 Июнь 2022 - 14:28

Версия Сервера Dr.Web 13.00.0 (04-04-2022 03:00:00)

#2 NickM

NickM

    Member

  • Posters
  • 182 Сообщений:

Отправлено 29 Июнь 2022 - 14:41

"notepad++"?



#3 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 29 Июнь 2022 - 14:51

Добрый день,

 

изучения, поиска, сортировки

less, grep, sort =)

Каких-либо штатных GUI user-friendly анализаторов лога для широкой публики -- нет.

Но всегда можно достаточно легко и быстро найти то, что интересует, если перед вами какая-то конкретная задача.

Например, [продолжите предложение]


Сообщение было изменено Kirill Polubelov: 29 Июнь 2022 - 14:52

(exit 0)

#4 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 29 Июнь 2022 - 15:06

"notepad++"?

Имеет право на жизнь при эпизодическом использовании. Что-то серьёзное часто там делать если – многое раздражает.

Так что таки да, less/grep/sort/cut, а иногда просто незаменим tail -F.


Семь раз отрежь – один раз проверь

#5 Anatrolliy

Anatrolliy

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 29 Июнь 2022 - 15:45

Но всегда можно достаточно легко и быстро найти то, что интересует, если перед вами какая-то конкретная задача.

Например, 

На Windows сервер ставим DrWeb Agent с антивирусом, ребутаем. Перестают работать какие-то бизнес-приложения, которые ранее работали на этом сервере. 

Через консоль Центра управления останавливаем все компоненты защиты на сервере, бизнес-приложения не работают.

Столкнулись с несколькими такими случаями, среди которых Oracle, Tomcat, Apache и различные библиотеки к ним (серваки девелоперов). Добавляли эти процессы и каталоги их содержащие в исключения SpiderGuard, в превентивную защиту - не помогает. 

 

Удаляем антивирус/агент, ребутаем - бизнес-приложения работают.

 

Хочу изучить логи, чтобы понять что именно мешает запуску сервисов. Но читать простыню достаточно сложно, когда не знаешь что конкретно искать - нужно просмотреть всё.


Версия Сервера Dr.Web 13.00.0 (04-04-2022 03:00:00)

#6 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 29 Июнь 2022 - 16:00

Да, вы правы, тут без анализа логов не обойтись.

Если имеет место явная блокировка каких-то действий, со стороны превентивной защиты, например, то это достаточно просто обнаружить.

Начать можно с поиска по ключевым словам denied или blocked в %ProgramData%\Doctor Web\Logs\dwservice.log

(учитывайте, что в зависимости от настроек, логи с полезной информацией могут быть отротированы, и эти события будут где-то в dwservice.N.log.gz)


(exit 0)

#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 01 Июль 2022 - 10:29

все детекты недавно были добавлены в наш системный журнал, с четкой логической структурой, номерами и полями, для удобства анализа всякими SIEM и т.д. и я надеюсь что все номера событий и поля наконец то появятся в документации рано или поздно, т.к. это сделано для вас изначально. а логи для нас. 


так же все важное дублируется опять же в системный журнал, но тут уже кто как хочет, нет системы и правил.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 Anatrolliy

Anatrolliy

    Newbie

  • Posters
  • 23 Сообщений:

Отправлено 05 Июль 2022 - 16:01

все детекты недавно были добавлены в наш системный журнал, с четкой логической структурой, номерами и полями, для удобства анализа всякими SIEM и т.д.

В системный журнал станций, управляемых сервером DrWeb? Простите, а зачем тогда нужен управляющий сервер? 

Все значимые события с управляемых станций обязаны быть отражены в управляющем сервере. Значимость событий, соответственно регулируется настройками опять же с управляющего сервера (в нашем случае Сервер Dr.Web).

 

 

 

я надеюсь что все номера событий и поля наконец то появятся в документации рано или поздно, т.к. это сделано для вас изначально. а логи для нас.

А пока этого нет, приходится и нам изучать логи. Глюков и необъяснимых вещей ловим много, а времени на разбирательства бизнес не дает, требуют удалить антивирус, когда сходу не удается восстановить функционал.

Я поэтому выше просил хоть какую-то информацию по расшифровке логов, сокращений, кодов.


Сообщение было изменено Anatrolliy: 05 Июль 2022 - 16:02

Версия Сервера Dr.Web 13.00.0 (04-04-2022 03:00:00)

#9 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 05 Июль 2022 - 16:23

"Я поэтому выше просил хоть какую-то информацию по расшифровке логов, сокращений, кодов."

Кодов много, реально только по конкретным вопросам ответить.

Если вы про

20220629.120127.755 [3068] [CL,LO] C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - Ok (2K 2/1ms 1087KB/s) [C:\windows\system32\svchost.exe:828:64] {S-1-5-19:S-1-5-19}

то здесь,

ГодМесяцДень.ЧасыМинутыСекунды.Тысячные_секунды [Номер_потока] [CL,Приоритет(LO-Low)] Путь - Статус (Размер/Время_проверки скорость) Инициатор_обращения SID_запустившего

 

denied/blocked попробовали поискать в логе?

https://forum.drweb.com/index.php?showtopic=335863#entry899509


Сообщение было изменено Kirill Polubelov: 05 Июль 2022 - 16:23

(exit 0)

#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 06 Июль 2022 - 12:24

 

все детекты недавно были добавлены в наш системный журнал, с четкой логической структурой, номерами и полями, для удобства анализа всякими SIEM и т.д.

В системный журнал станций, управляемых сервером DrWeb? Простите, а зачем тогда нужен управляющий сервер? 

Все значимые события с управляемых станций обязаны быть отражены в управляющем сервере. Значимость событий, соответственно регулируется настройками опять же с управляющего сервера (в нашем случае Сервер Dr.Web).

Ну это больше standalone решений касается, при централизованном управлении от этого пользы действительно ноль.

И значимые события таки приходят на сервер. Те, что посчитаны значимыми. Всё подряд (в том числе процитированное Вами) непрерывно тащить на сервер будет физически невозможно. Зато можно (будет) по запросу.


Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых