Análisis de logs Cowrie en Bash
May 15, 2025 —
n4ch0m4n
En base a mi post anterior dejé corriendo un honeypot Cowrie y estoy acumulando logs de ataques.
Por ello generé un script en bash (cowrie_analysisv2.sh) que procesa los registros JSON generados por el honeypot y extrae las estadísticas más relevantes. Básicamente lo que hace es:
-
Filtrado de eventos con jq
Al ser salida en JSON usando esta herramienta para leer todos los registros de cowrie y se filtran según el tipo de evento. -
Conteos y rankings
Con utilidades como sort, uniq -c y awk, se generan listados ordenados de:- Comandos más ejecutados.
- IPs de origen más frecuentes.
- Usuarios y contraseñas más utilizados.
- Clientes utilizados
- Etcétera
-
Salida formateada
El script consolida los resultados en la terminal de forma clara, para facilitar la lectura inmediata o el volcado a un archivo de texto.
Podés ver una muestra del informe completo acá.
Seguramente en la próxima entrada del blog haré un pequeño análisis y sacaré conclusiones de los resultados, como hallazgos, patrones de ataque, posibles recomendaciones de seguridad, curiosidades y alguna que otra cosas más…
Tags: Seguridad