Archiv der Kategorie: Bash

Anonymisieren von IP-Adressen in einer Apache Log Datei mithilfe von sed

Ziel: Man möchte die IP-Adressen in einer Apache Logdatei anonymisieren, indem man das letzte Byte oder die zwei letzten Byte der IP-Adresse durch 0 ersetzt.

Lösungsmöglichkeit: Zeilenweises Durchsuchen der Logdatei mit dem Unix Werkzeug sed. Suchen der IP-Adressen und Ersetzen der Fundstellen mit der anonymiserten IP-Adresse.
Z. B. soll die IP-Adresse 123.123.123.123 durch die Adresse 123.123.0.0 ersetzt werden.

Dazu kann man folgenden Einzeiler verwenden:

sed -i -e 's/\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)\.\([0-9]\{1,3\}\)/\1\.\2\.0\.0/' access_log_ssl.log

Hier der Versuch einer Erklärung, ohne zu tief auf die regulären Ausdrücke, die in dem sed-Skript verwendet werden, einzugehen.

Vereinfacht sieht das sed-Skript wie folgt aus:

sed -i -e 's/SUCHMUSTER/ERSETZUNG/g' access_log.log

-e = Parameter der angibt, dass ein sed-Script folgt
’s/SUCHMUSTER/ERSETZUNG/g‘ = sed-Skript
SUCHMUSTER = Muster, nach dem gesucht werden soll
ERSETZUNG = Text, mit dem das Suchmuster ersetzt werden soll
access_log.log = Eingabedatei
-i = Inplace Bearbeitung – die Änderungen werden direkt an der Eingabedatei ausgeführt

Sollen die Änderungen in einer Kopie gespeichert werden, dann wird sed ohne den -i Parameter benutzt und die Ausgabe in eine neue Datei umgeleitet.

sed -e 's/SUCHMUSTER/ERSETZUNG/g' access_log.log > bearbeitet.log

In diesem Fall bleibt die Eingabedatei unverändert und die Änderungen werden in der Datei bearbeitet.log gepeichert.

Jetzt zu dem konkreten Beispiel:

Der besseren Lesbarkeit halber wurden die vielen Maskierungen mit dem Zeichen \ entfernt. Diese werden aber in dem eigentlichen sed-Skript benötigt.

Hier das Suchmuster in unserem sed-Skript:

([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3})

[0-9] = Die Zeichen 0-9, also 0123456789 werden an dieser Stelle gesucht
{1,3} = Die Zeichen [0-9] müssen 1 bis 3 mal auftreten
([0-9]{1,3}) = Die Klammern kennzeichnen eine Einheit in dem Suchmuster, auf die anschließend beim Ersetzten zugegriffen werden kann
([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}).([0-9]{1,3}) = Das Muster muss vier Mal, getrennt duch einen Punkt, hintereinander auftreten.

Damit hat man aber keine hundertprozentige Sicherheit, dass nur gültige IPv4 Adressen von dem Suchmuster gefunden werden. Ungültige Adressen wie z.B. 999.999.999.999 würden duch das Suchmuster auch gefunden.
Für unseren Anwendungsfall reicht das vereinfachte Suchmuster aber vollkommen aus.

Jetzt zu dem ersetzen Teil des sed-Skripts. Auch hier sind die Maskierungen durch das Zeichen \ weggelassen.

\1.\2.0.0

\1 = Die erste mit Klammern definierte Einheit im Suchmuster
\2 = Die zweite mit Klammern definierte Einheit im Suchmuster; analog dazu könnte man noch \3 und \4 für die dritte und vierte Einheit im Suchmuster benutzen. \1.\2.\3.\4 würde die ursprüngliche IP unverändert ausgeben.
0 = Die Ziffer 0

Der Ersetzen-Teil des sed-Skripts bedeutet also, dass eine gefundene IP-Adresse mit ihren ersten zwei Bytes und mit einer Null als drittes und viertes Byte ersetzt werden sollen.

Aktivieren des Bash-Completion-Features auf einem Debian-System

Wenn das Bash-Completion-Feature auf Debian-Systemen richtig funktioniert, kann man z. B. die Dienste beim Service-Kommando mit der Tabulatortaste vervollständigen.

Beispiel für die Befehlsvervollständigung:

service ap<Tab>
service apache2 rel<Tab>
service apache2 reload

Wenn auf einem Debian-System die Vervollständigung von Befehlen mittels der Tabulatortaste nicht funktioniert, kann es sein, dass das Paket Bash-Completion nicht installiert ist.

Um zu überprüfen, ob das Bash-Completion-Paket installiert ist, kann man folgenden Befehl benutzen:

dpkg -l bash-completion | tail -1

Die Ausgabe des Befehls sollte dann wie folgt aussehen:

ii  bash-completion 1:2.0-1 all programmable completion for the bash shell

Bleibt diese Ausgabe leer, dann ist das Paket Bash-Completion nicht installiert. Es lässt sich mit folgendem Befehl installieren:

apt-get install bash-completion

Sollte die Bash-Vervollständigung trotz installiertem Paket Bash-Completion nicht funktionieren, kann es daran liegen, dass das Vervollständigungs-Feature noch nicht aktiviert wurde. Bei Debian kann man diese Funktion in der Datei /etc/bash.bashrc aktivieren. Man muss nur die Kommentarzeichen vor folgenden Zeilen entfernen:

###Vorher
#if ! shopt -oq posix; then
#  if [ -f /usr/share/bash-completion/bash_completion ]; then
#    . /usr/share/bash-completion/bash_completion
#  elif [ -f /etc/bash_completion ]; then
#    . /etc/bash_completion
#  fi
#fi

###Nachher
if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

Damit diese Einstellung aktiv wird, muss man sich am System ab- und wieder anmelden.

Quelle: http://serverfault.com

Autocomplete (tab completion) für Service-Kommando unter Debian Linux

Wenn auf einem Debian-System die Autocomplete-Funktion nur bei Dateien und Verzeichnissen funktioniert und nicht für weitere Befehle, kann es daran liegen, dass das  „bash-completion“-Paket nicht installiert ist.

Um die Autocomplete-Funktion z. B. auch für das „service“-Kommando verwenden zu können, muss unter Debian das Paket „bash-completion“ installiert sein.

Installation des „bash-completion“-Pakets:

apt-get install bash-completion

Nach der Installation:
Test der Funktionalität, Eingabe von „service a“ [TAB]:

# service a
acpid     anacron   apache2   asterisk  atd

Nun schlägt die Bash Shell nach der Eingabe von „service a“ und dem Drücken der TAB -Taste alle zur Verfügung stehenden Dienste vor, die mit a beginnen.