MasterParser - Un outil DFIR puissant pour analyser les logs Linux

Aujourd’hui, on va causer d’un petit bijou de la DFIR (Digital Forensics and Incident Response) qui s’appelle MasterParser. C’est un outil qui a été conçu par Eilay Yosfan, qui bosse chez Security Joes en tant que Threat Researcher. Ce que fait son outil, c’est qu’il prend vos logs Linux et il les analyse pour en extraire toutes les infos utiles d’un point de vue sécurité. C’est hyper pratique pour les investigations forensic et la réponse aux incidents.

Imaginez, vous êtes tranquille devant vos écrans quand soudain, hop, alerte intrusion sur un de vos serveurs Linux ! Pas de panique, MasterParser est là… vous lui filez vos logs et il s’occupe du reste.

En quelques secondes, il va identifier tous les événements importants comme les connexions SSH, les créations de comptes, les changements de mots de passe, etc… et il vous sort ça dans un joli rapport bien synthétique, avec des tableaux et des stats.

Plus besoin de passer des heures à éplucher des logs à la main comme un noob puisqu’il fait le taf à votre place, et en plus il le fait bien. Si vous voulez voir à quoi ça ressemble, allez faire un tour sur le GitHub du projet, vous n’allez pas être déçus. Il y a même des exemples de rapports générés pour vous donner une idée. Et cerise sur le kernel, c’est open source !

D’ailleurs, le projet s’appelait initialement AuthLogParser et il était focalisé sur les fichiers auth.log. Mais face au succès de son bébé, Eilay a décidé de voir plus grand et de le renommer MasterParser, pour en faire un outil plus générique capable de gérer différents types de logs.

Maintenant, passons à la pratique. Comment on utilise cet outil génial ?

1. Clonez le repo GitHub de MasterParser ou téléchargez le zip.
2. Extrayez le dossier MasterParser-main sur votre bureau.
3. Ouvrez PowerShell et naviguez jusqu’au dossier MasterParser-main : cd "C:\Users\user\Desktop\MasterParser-main\"
4. Pour voir le menu des commandes, tapez : .\MasterParser.ps1 -O Menu
5. Placez vos fichiers de logs Linux dans le dossier 01-Logs.
6. Lancez l’analyse avec la commande : .\MasterParser.ps1 -O Start

Et voilà, en quelques clics vous avez votre rapport d’analyse des logs, propre et net. Ça vous changera des kilomètres de logs à vous farcir et avec ça, vous allez passer pro de la DFIR Linux en un rien de temps.

Franchement, on peut dire qu’Eilay a fait du beau boulot. Et merci à Lorenper pour l’info.