PASTE (syslog_integration) ver1.4.4 リリース
2016年3月3日(日本時間)、PASTE (syslog_integration) ver1.4.4がリリースされました。
swatchの設定例の表記が長いものとなっていたため、読みやすい表記となるように変更しました。
このリリースは、機能的な変更点を含みません。
現時点のswatchの設定例は、次のようなものとなっています。
# logfile /var/log/local0.txt
# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
threshold track_by=$1:$2,type=limit,count=1,seconds=60
pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
# paloalto PA, TRAFFIC end, threshold by src,dst
watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
threshold track_by=$1:$2,type=limit,count=1,seconds=60
pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
# threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
# pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
swatchの設定ファイルの変更のみですので、ver1.4.3を利用されている場合にはversion-upは特に必要ありません。
swatchで5tupleでのthreshold動作をさせる場合には、上記の記述を参考に設定してください。
バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。
コメント