Possível acelerar isso enquanto lê o script bash?

Navegue suas respostas
1

Eu ainda sou muito novo em todo o script do bash do linux e descobri esse pequeno código, infelizmente, seu tempo de execução é um pouco longo para um arquivo pequeno (193 KiB)

real 0m7.234s user 0m6.772s sys 0m3.486s

Se você pudesse dar uma olhada, passar algumas melhorias ou dicas, seria apreciado! 

#!/bin/bash
#
while read line; do
    RNAME=$(echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | sed 's/^.*\(ET CINS Active Threat Intelligence Poor Reputation.*\)//g' | sed 's/".*//') 
    RSID=$(echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | grep -o "sid:.*" | awk '{print $1}' | rev | cut -c 2- | rev | cut -c 5-)
    echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | awk '{print  "'"$RSID"'" " " "\"[;][)]\"" " " "\"" "; fwsam: src[either], 1 hour;)\"; # " "'"$RNAME"'" }'#  >> /tmp/snortsam-rules.txt
    echo $line | grep -w "ET CINS Active Threat Intelligence Poor Reputation" | awk '{print  "'"$RSID"'" " " "\"\(msg:\"\" \"(msg:\"[SNORTSAM] \"; # " "'"$RNAME"'" }'  >> /tmp/snortsam-rules.txt
done < /etc/snort.d/rules/emerging-threats/emerging-ciarmy.rules

Conteúdo do arquivo de entrada: 

alert tcp [1.11.244.148,1.119.129.16,1.119.133.214,1.119.144.196,1.163.25.190,1.170.159.97,1.173.65.136,1.177.142.203,1.177.220.170,1.177.251.214,1.180.189.18,1.180.208.131,1.180.208.132,1.180.233.23,1.186.176.220,1.186.176.246,1.186.220.92,1.186.235.187,1.192.123.218,1.192.145.246,1.202.225.53,1.202.65.39,1.215.230.46,1.221.225.138,1.228.102.199,1.230.44.160,1.232.113.151,1.234.1.70,1.234.4.14,1.239.35.88,1.24.156.110,1.245.107.90,1.247.184.111,1.251.177.206,1.253.135.172,1.254.20.189,1.254.47.75,1.28.202.11,1.28.202.16,1.31.87.35,1.32.200.123,1.32.216.88,1.32.47.74,1.33.73.100,1.34.113.192,1.34.158.177,1.34.209.99,1.34.21.27,1.34.2.152,1.34.28.244] any -> $HOME_NET any (msg:"ET CINS Active Threat Intelligence Poor Reputation IP TCP group 1"; flags:S; reference:url,www.cinsscore.com; reference:url,www.networkcloaking.com/cins; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2403300; rev:40471;)

Exemplo de código de saída: 

2403300 "[;][)]" "; fwsam: src, 1 hour;)"; # ET CINS Active Threat Intelligence Poor Reputation IP TCP group 1

Basicamente, o que eu quero fazer é pegar algumas partes do conteúdo da entrada e salvá-las em um arquivo, como o exemplo de código de saída acima, se isso fizer sentido?

    
por dobzsock 12.05.2018 / 01:16

1 resposta

2

Nota:

  1. A leitura de linhas individuais a partir de um arquivo e a execução de vários programas em cada linha várias vezes será extremamente lentas.
  2. Veja acima para cada vez que você faz echo $line | ... .

A maior parte disso pode ser feita pelo próprio awk: 

awk -v fmt1='%s "[;][)]" "; fwsam: src, 1 hour;)"; # %s\n' -v fmt2='%s "\(msg:"" "(msg:"[SNORTSAM] "; # %s\n' '/ET CINS Active Threat Intelligence Poor Reputation/ {
  rname = gensub(/.*(ET CINS Active Threat Intelligence Poor Reputation [^"]*).*/, "\1", 1)
  rsid = gensub(/.*ET CINS Active Threat Intelligence Poor Reputation.*sid:(.*); .*/, "\1", 1)
  printf fmt1, rsid, rname
  printf fmt2, rsid, rname
}' input-file

Notas:

  1. Em vez de fazer um escape complexo para obter um formato de saída específico, use printf com uma string de formato. Eu usei duas variáveis awk definidas externamente ( -v fmt1=... , -v fmt2=... ) como as strings de formato, evitando assim muitas citações.
  2. Você usou echo ... | grep ... | awk para imprimir somente se o padrão grep for correspondido. Isso é feito facilmente no próprio awk usando /pattern/ { action } para executar ações apenas nas linhas que correspondem ao padrão.
  3. O trabalho dos comandos rev | cut | rev | cut e sed ... | sed é feito com bastante facilidade no regex, mantendo apenas o grupo de caracteres de que você precisa.
por 12.05.2018 / 08:09

Tags

Por que o systemd reporta “Tentativa de remover o sistema de arquivos em disco” quando “verify” é usado para verificar a sintaxe de um arquivo? Como posso alterar uma unidade flash de volta depois de torná-la um dispositivo inicializável para a instalação do Ubuntu?