PASTE (syslog_integration) ver1.4.3 リリース
2016年3月2日(日本時間)、PASTE (syslog_integration) ver1.4.3がリリースされました。
swatchの設定ファイルの中に"#"によるコメントがある場合に、PASTEとして正しく動作するようになりました。
swatchの設定ファイルの"#"によるコメント解釈以外のPASTEとしての動作は、従来と変わりなく使用することができます。
現時点のswatchの設定例は、次のようなものとなっています。
# cat /opt/momentun_client/conf/local0.conf # logfile /var/log/local0.txt # paloalto PA, THREAT, threshold by src,dst watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/ threshold track_by=$1:$2,type=limit,count=1,seconds=60 pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" # paloalto PA, TRAFFIC end, threshold by src,dst watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/ threshold track_by=$1:$2,type=limit,count=1,seconds=60 pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" ## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol #watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/ # threshold track_by=$1:$2:$3:$4:$5,type=limit,count=1,seconds=60 # pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 2" #
細かな変更ですが利便性向上となるものですので、ver1.4.3へのversion-upを推奨します。
バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。
コメント