J'utilise Rsyslog sur Debian Lenny (version 3.18.6-4) comme serveur central de log.
Je voudrais executer une regexp sur les messages reçu et envoyer un email si ça matche.
J'ai crée cette regexp via le site web de rsyslog, ça devrait donc être ok.
Pourriez-vous me donner votre avis sur cette config :
$ModLoad ommail
$ActionMailSMTPServer server.company.local
$ActionMailFrom rsyslog@company.net
$ActionMailTo syslog@company.net
# make sure we receive a mail only once per 1sec
$ActionExecOnlyOnceEveryInterval 1
$template mailSubject,"[SNORT] Alert from %hostname%"
$template mailBody,"Snort message\r\nmsg='%msg%'"
$ActionMailSubject mailSubject
# the if ... then ... mailBody mus be on one line!
if $msg regexp 'snort\[[0-9]*\]: \[[0-9]*:[0-9]*:[0-9]*].*' then ommail:;mailBody
# Le problème étant...
Posté par Henry-Nicolas Tourneur (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.