## Analyse von Firewall-Logeinträgen

Grundlage bildet das ZIP File *syslog.zip*, das Logeinträge einer Firewall enthält. Jede Zeile im Logfile dokumentiert einen sicherheitsrelevanten Vorfall. Ereignisse, die von der Firewall protokolliert wurden, sind durch den Tag `[UFW ...]` gekennzeichnet. Blockierte Netzwerkpakete werden explizit mit `[UFW BLOCK]` markiert. Der Parameter `SRC=` gibt in diesen Fällen die IP-Adresse an, von der das blockierte Datenpaket gesendet wurde.

Auszug aus der *syslog*:
````text
Jul  6 06:25:29 localhost kernel: [2577529.516853] [UFW BLOCK] IN=eth0 OUT= MAC=00:1b:c6:41:6f:e2:00:1b:c6:10:dc:02:08:00 SRC=195.54.160.155 DST=10.214.99.141 LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=32829 PROTO=TCP SPT=55025 DPT=701 WINDOW=1024 RES=0x00 SYN URGP=0 
Jul  6 06:25:52 localhost kernel: [2577552.314403] [UFW BLOCK] IN=eth0 OUT= MAC=00:1b:c6:41:6f:e2:00:1b:c6:10:dc:02:08:00 SRC=80.82.65.74 DST=10.214.99.141 LEN=40 TOS=0x00 PREC=0x00 TTL=250 ID=18191 PROTO=TCP SPT=49954 DPT=6041 WINDOW=1024 RES=0x00 SYN URGP=0 
````

> **Hinweis**: Wenn möglich, setzen Sie eine *List Comprehension* ein.

### Task 1
Laden Sie das ZIP file mithilfe des Moduls `zipfile` (siehe https://docs.python.org/3/library/zipfile.html#zipfile.ZipFile.open), entpacken Sie dieses (auf Code-Ebene) und geben Sie die ersten 2 Einträge aus (siehe oben).  

In [1]:
import zipfile

zip_file_path = 'logfile.zip'  # Pfad zur ZIP-Datei

with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
    log_filename = zip_ref.namelist()[0] 
    with zip_ref.open(log_filename) as log_file:
        log_lines = [line.decode('utf-8').strip() for line in log_file]
        
        for line in log_lines[:2]:
            print(line)


Jul  6 06:25:29 localhost kernel: [2577529.516853] [UFW BLOCK] IN=eth0 OUT= MAC=00:1b:c6:41:6f:e2:00:1b:c6:10:dc:02:08:00 SRC=195.54.160.155 DST=10.214.99.141 LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=32829 PROTO=TCP SPT=55025 DPT=701 WINDOW=1024 RES=0x00 SYN URGP=0
Jul  6 06:25:52 localhost kernel: [2577552.314403] [UFW BLOCK] IN=eth0 OUT= MAC=00:1b:c6:41:6f:e2:00:1b:c6:10:dc:02:08:00 SRC=80.82.65.74 DST=10.214.99.141 LEN=40 TOS=0x00 PREC=0x00 TTL=250 ID=18191 PROTO=TCP SPT=49954 DPT=6041 WINDOW=1024 RES=0x00 SYN URGP=0


### Task 2
Über wie viele Einträge verfügt die Log-Datei?

In [5]:
zip_file_path = 'logfile.zip'  # Pfad zur ZIP-Datei

with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
    log_filename = zip_ref.namelist()[0]  # Annahme: Nur eine Datei im Archiv
    with zip_ref.open(log_filename) as log_file:
        # Einträge in die Liste laden
        log_lines = [line.decode('utf-8').strip() for line in log_file]
        
        num_entries = len(log_lines)
        print(f"{num_entries}")


6677


### Task 3
Wie viele Einträge weisen den Status "geblockt" auf?

In [3]:
zip_file_path = 'logfile.zip'  # Pfad zur ZIP-Datei

with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
    log_filename = zip_ref.namelist()[0]  # Annahme: Nur eine Datei im Archiv
    with zip_ref.open(log_filename) as log_file:
        log_lines = [line.decode('utf-8').strip() for line in log_file]
        
        blocked_entries = [line for line in log_lines if '[UFW BLOCK]' in line]
        num_blocked_entries = len(blocked_entries)
        
        print(f"Die Log-Datei enthält {num_blocked_entries} geblockte Einträge.")


Die Log-Datei enthält 6191 geblockte Einträge.


## Task 4
Wie viele Pakete stammen von der IP Adresse 94.102.51.28?

In [12]:
import zipfile

# ZIP-File öffnen und entpacken
zip_file_path = 'logfile.zip'  # Pfad zur ZIP-Datei

with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
    # Namen der Dateien im ZIP-Archiv abrufen
    log_filename = zip_ref.namelist()[0]  # Annahme: Nur eine Datei im Archiv
    with zip_ref.open(log_filename) as log_file:
        # Einträge in die Liste laden
        log_lines = [line.decode('utf-8').strip() for line in log_file]
        
        # Anzahl der Pakete von der IP-Adresse 94.102.51.28 ermitteln
        ip_specific_entries = [line for line in log_lines if 'SRC=94.102.51.28' in line]
        num_ip_specific_entries = len(ip_specific_entries)
        
        print(f"Die Log-Datei enthält {num_ip_specific_entries} Einträge")


Die Log-Datei enthält 334 Einträge von der IP-Adresse 94.102.51.28.


In [18]:
# alle Aufgaben in einer, für mich
zip_file_path = 'logfile.zip' 

with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
    log_filename = zip_ref.namelist()[0]
    with zip_ref.open(log_filename) as log_file:
        log_lines = [line.decode('utf-8').strip() for line in log_file]
        
        num_entries = len(log_lines)
        print(f"Die Log-Datei enthält {num_entries} Einträge.")

        num_blocked_entries = sum(1 for line in log_lines if '[UFW BLOCK]' in line)
        print(f"Die Log-Datei enthält {num_blocked_entries} geblockte Einträge.")

        num_ip_specific_entries = sum(1 for line in log_lines if 'SRC=94.102.51.28' in line)
        print(f"Die Log-Datei enthält {num_ip_specific_entries} Einträge")


Die Log-Datei enthält 6677 Einträge.
Die Log-Datei enthält 6191 geblockte Einträge.
Die Log-Datei enthält 334 Einträge von der IP-Adresse 94.102.51.28.
