-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-01-30 a las 08:52 -0300, Victor Hugo dos Santos escribió:
mmm.. puedes mirar el codigo de guardian (http://www.chaotic.org/guardian/) este trabaja revisando los logs de snort y caso encontre un patron.. entonces ejecuta un comando !!!
Es una manera, pero se me complica.
Lo que llevo probado es esto en el syslog:
filter f_router_got_ip { host("router") and match("Received valid IP address from server"); };
destination router2 { file("/var/log/router2"); }; log { source(ext); filter(f_router_got_ip); destination(router2); };
Y eso sí funciona, guarda la linea en el fichero "/var/log/router2", luego hasta ahí bien. Si lo cambio el destino (siguiendo la documentación):
destination routerip { program("/usr/local/syslog-askandlogrouterip"); }; log { source(ext); filter(f_router_got_ip); destination(routerip); };
entonces falla, el programa en cuestión no se ejecuta. Algo falla.
El programa está bien, si lo llamo externamente hace lo que debe. Pero el syslog no lo carga: igual no le gusta que sea un script :-(
O no lo han compilado con ese soporte.
:-/
- -- Saludos Carlos E.R.