rsyslog: выполните сценарий при соответствии событию журнала
Вы действительно не предоставляете достаточно подробной информации. Если Вы хотите безопасность, пойдите с OpenDNS. Ubuntu является достойным выбором, поскольку существует много инструментов и вариантов поддержки, из-за, он - популярность. Наконец, с которым ОС Вы являетесь самыми знакомыми? Если это - Redhat или вариант, пойдите с одним из тех. DNS и dnsmasq будут в основном подобными через все Ose, но если необходимо изучить новую ОС только для установки части программного обеспечения, Вы испытаете больше затруднений из-за этого.
Вы ищете omprog.
module(load="omprog")
action(type="omprog"
binary="/pathto/omprog.py --parm1=\"value 1\" --parm2=\"value2\"
template="RSYSLOG_TraditionalFileFormat")
Подробнее см. В документации: http://www.rsyslog.com/doc/v8-stable/configuration/modules/omprog.html
Возможно, необходимо использовать что-то как http://www.logcheck.org/ вместо того, чтобы запустить скрипт для каждого инцидента безопасности через rsyslog.
Suhosin может выполнить скрипт для каждого сообщения журнала. Пример php.ini:
suhosin.log.script=255
suhosin.log.script.name=/usr/local/bin/action.sh
Из документации: "Скрипт вызывается с 2 параметрами. Первый - это класс предупреждения в строковой нотации, а второй параметр - сообщение журнала"
.Следующий код запускает "hi.bash" для меня, если сообщение содержит "hellothere"
:msg, regex, "hellothere" ^/usr/local/bin/hi.bash
Согласно документации, он ждет завершения, поэтому, хотя он работает, я предполагаю, что это вызывает сбрасывание событий.
Есть способ отправить шаблонный параметр, но я с ним не играл.