# YAMAHA RT シリーズ + IMail を使った際のノイズ除去AWKスクリプト # gawk の本体別途ダウンロードが必要 # gawk -f スクリプトファイル ログファイル > ノイズを除去したログファイル { # 内部発生のログ # プライベートアドレス内のログ if(/^[0-9]+ [0-9]+ +192\.168\.[0-9]+\.[0-9]+ +<[0-9]+>.+$/){next;} # 時刻同期 if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+syslog$/){next;} if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+second$/){next;} # LAN ポートで発生しているログ if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>LAN3.+$/){next;} # オートアップデート if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>\[INSPECT.+443 \(.+\)$/){next;} if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>\[INSPECT.+:80 \(.+$/){next;} # 良くあるポートスキャン # Ping if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+echo request$/){next;} # ICMP if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+unreachable port$/){next;} # 送信元がプライベートアドレス if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+\(20[0-9]\).+$/){next;} # 1443-1434 MS-SQL if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+143(3|4)$/){next;} # 1025-1027 RPC? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+102[5-7]$/){next;} # 1080 socks if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+1080$/){next;} # 3127 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+3127$/){next;} # 8080 Proxy if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+8080$/){next;} # 6129 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+6129$/){next;} # 4889 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+4899$/){next;} # 3325 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+3325$/){next;} # 915 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+915$/){next;} # 9898 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+9898$/){next;} # 6112 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+6112$/){next;} # 901 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+901$/){next;} # 27374 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+27374$/){next;} # 1524 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+1524$/){next;} # 54722 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+54722$/){next;} # 59646 ? if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+59646$/){next;} # 443 https if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+https$/){next;} # 送信元が udp/4000 Witty if(/^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+>.+:4000 > .+$/){next;} # どれにも引っかからなかった残ったログを出力 print $0; } ###################################### # 日付/時間部分のマッチパターン #^[0-9]+ [0-9]+ ([0-9]|\.)+ <[0-9]+> ###################################### #---- # Copyright (C)2005 MURA All rights reserved.