Aufgepeppt mit Simile

Für eine optisch anspruchsvollere Auswertung bieten sich die Simile-Widgets an. Dabei kann aber die Arbeit bei großen Datenmengen, wie sie beispielsweise bei der Auswertung der MAC-Times eines Systems anfallen, bisweilen sehr zäh verlaufen. Am unkompliziertesten erweist sich die weitere Aufbereitung mit dem CSV-Format. Dem Import in ein Kalkulationsprogramm zur weiteren Analyse steht genauso wenig entgegen wie der skriptbasierten Auswertung.

Das folgende Beispiel analysiert die History des Browsers Firefox, der die Geschichte der besuchten Web- seiten in einer SQlite-Datenbank im Profilverzeichnis des Benutzers ablegt. Log2timeline kann damit umgehen und erstellt mit folgendem Befehl eine CSV-Datei:

log2timeline -f firefox3 /Pfad_zum_Firefox-Profil/places.sqlite -w ff3.csv -o csv

Eine simple Auswertung, wie sie gerade im forensischen Bereich häufig vorkommt, präsentiert die Anzahl der Aufrufe einzelner Webserver durch den Benutzer. Das folgende Beispiel betrachtet dabei nur den Host, ohne Rücksicht auf die Unterseiten:

sed -e 's/^.\+Host: //' ff3.csv | gawk 'BEGIN { FS = " " }{ COUNT[$1]++ }END {for (x in COUNT) printf("%d\t%s\n", COUNT[x],x) | "sort -n";}'|tail > TOP10.csv

Sed extrahiert die einzelnen Internetadressen und summiert sie mit Gawk. Anschließend ordnet Sort das Ganze numerisch und legt die Top 10 der aufgerufenen Adressen in der Datei »TOP10.csv« ab. Gnuplot bereitet das Ergebnis optisch nachvollziehbar auf.

Das Skript aus Listing 2 erzeugt eine Grafik mit einem Diagramm, das die Top 10 der besuchten Internetseiten darstellt (Abbildung 2).

unset key
set grid
set title "aufgerufene Internetadressen"
set ylabel "Anzahl der Zugriffe"
set xlabel "Internetadresse"
set key
set xrange [ -1 : * ]
set yrange [ 1 : *]
set terminal png font serif 10 size 1000,600
set output "historychart.png"
set style data boxes
set boxwidth 0.5
set style fill solid border 0
set xtics rotate
plot "history_ff3.csv" using 0:1:xticlabels(2) notitle with boxes, "history_ff3.csv" using 0:1:1 notitle with labels

Abbildung 2: Mit Sed, Awk und Gnuplot aufbereitete Firefox-Logfiles: Der Benutzer hat am häufigsten die Webseite des Linux-Magazins besucht.

Weiter geht's

Auf der Roadmap [6] des Entwicklers stehen vor allem zahlreiche weitere Eingangsformate. Version 0.41 konzentriert sich zum Beispiel ganz auf die Browser-History, Version 0.42 dagegen auf diverse Network-Logs. Wenn diese Roadmap umgesetzt wird, entsteht mit Log2timeline ein neues Schweizer Taschenmesser der Logfile-Aufbereitung, für Admins und Forensiker gleichermaßen. (mfe)