[syslog-ng] patterndb & not describing the entire log message

Christophe Brocas christophe.brocas at cnamts.fr
Thu Sep 1 17:22:08 CEST 2011


Hello

As I said before in other message, I currently work with patterndb to write a
pattern file describing Windows log messages related to file system. These
messages are sent to Syslog-NG through Snare software.

Example :
Aug 12 15:08:48 10.0.0.1 MSWinEventLog 1 Security 541 ven. août 12 15:08:46 201
4656 Microsoft-Windows-Security-Auditing D00000001\accout1 N/A Success Audit
hostname.d00000001.subdom1.dom1.fr Système de fichiers Un handle vers un objet a
été demandé. Sujet : ID de sécurité :
S-1-5-21-514083418-1667312537-733111063-1179 Nom du compte : account1 Domaine du
compte : D00000001 ID d’ouverture de session : 0x8e90858 Objet : Serveur de
l’objet : Security Type d’objet : File Nom de l’objet :
E:\xxx\yyyy\filename.doc.doc ID du handle : 0x2b0 Informations sur le processus
: ID du processus : 0xeb0 Nom du processus :
C:\Windows\System32\inetsrv\w3wp.exe Informations sur la demande d’accès : ID de
la transaction : {00000000-0000-0000-0000-000000000000} Accès : DELETE
SYNCHRONIZE ReadAttributes Masque d’accès : 0x110080 Privilèges utilisés pour
les vérifications d’accès : - Nombre de SID restreints : 0 540

Question :
That kind of messages are extremely long and some areas seem empty in my example
but may be not in the future. Is there a way with pattern to not describe the
entire message but only the relevant part for us (the equivalent of wildcard in
regexp) ?

Thanks
Christophe



*****************************************************
"Le contenu de ce courriel et ses éventuelles pièces jointes sont confidentiels. Ils s'adressent exclusivement à la personne destinataire. Si cet envoi ne vous est pas destiné, ou si vous l'avez reçu par erreur, et afin de ne pas violer le secret des correspondances, vous ne devez pas le transmettre à d'autres personnes ni le reproduire. Merci de le renvoyer à l'émetteur et de le détruire.

Attention : L'organisme de l'émetteur du message ne pourra être tenu responsable de l'altération du présent courriel. Il appartient au destinataire de vérifier que les messages et pièces jointes reçus ne contiennent pas de virus. Les opinions contenues dans ce courriel et ses éventuelles pièces jointes sont celles de l'émetteur. Elles ne reflètent pas la position de l'organisme sauf s'il en est disposé autrement dans le présent courriel."
******************************************************



More information about the syslog-ng mailing list