<div dir="ltr"><div dir="ltr"><div dir="ltr">Hello,<div> I think most of the things you mentioned, can be achieved with patterndb: <a href="https://www.syslog-ng.com/technical-documents/doc/syslog-ng-open-source-edition/3.20/administration-guide/71#TOPIC-1122052">https://www.syslog-ng.com/technical-documents/doc/syslog-ng-open-source-edition/3.20/administration-guide/71#TOPIC-1122052</a></div><div> Keywords: correlating messages, triggering actions, external actions<br></div><div><br></div><div> (Mentioned in the Administration Guide) There is a collection of example patterns on GitHub: <a href="https://github.com/balabit/syslog-ng-patterndb/">https://github.com/balabit/syslog-ng-patterndb/</a>  most probably they will not suit your needs as is, but they are a good starting point. (please feel free to share your final solution as PR)</div><div><br></div><div>I hope it was helpful!</div><div><br></div><div>Best Regards,</div><div>Laci</div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 7, 2019 at 4:55 PM Evan Rempel <<a href="mailto:erempel@uvic.ca">erempel@uvic.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">We do this for all kinds of things.<br>
<br>
We<br>
- monitor mailing list subscription rates and then add firewall block rules automatically for abusive users (usually spammers)<br>
- monitor failed login rates to block ip access<br>
- monitor failed login rates followed by successful login and lock accounts.<br>
<br>
<br>
On 3/6/19 10:44 AM, Jim Hendrick wrote:<br>
> I was wondering if anyone has used syslog-ng to trigger some dynamic action based on logs.<br>
><br>
> For example,  if a certain threshold of messages happens in a time window,  send an alert. LIke suppress () but more general actions.<br>
> Or if a specific event happens,  send *.debug from that system for 5 minutes.<br>
> Or run a program to collect system data and send it along based on some condition.<br>
><br>
> Not thinking SIEM functionality here, but maybe allow the log servers to be more dynamic around what actions they take for basic things.<br>
><br>
> Thoughts?<br>
><br>
> Thanks.<br>
> Jim<br>
<br>
-- <br>
Evan<br>
<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>