[Postfixbuch-users] OT: mailgraph und Trendmicro

[Jan P. Kessler]

Hi Joe,

> Da ich bisher Mailgraph nur für Postfix-Logs einsetze, kann ich mit
einer alternativen Logzeile leider nicht dienen - das fertige Skript würde
mich aber sehr interessieren.
>
> vielen Dank im Voraus

Sorry hat ein bisschen gedauert - der Zahnarzt war ganz scharf auf meine
Weisheitszähne ;)

Ich versuch's mal mit der Kurzfassung - falls Du noch Fragen hast, schreib
mir:

##########################################################################################
############# Trendkonverter - ANFANG

#!/usr/local/bin/perl -T

#
# Loghostname fuer Ausgabe (Trendmicro Logs enthalten keine solche Angabe)
$myhost = "mein.host.local" ;

#
# Array, das die engl. Monatsabkuerzungen in Zahlen umwandelt
my @MYMONTHBYVAL = ( 0, "Jan", "Feb", "Mar", "Apr", "May", "Jun",
                        "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" ) ;

# input loop
while (<>)
{
        # Monat, Tag und Rest der Zeile trennen
        ($mymon, $myday, $myrest) = split /\// ;

        # Uhrzeit auslesen, Jahr entfernen
        $mytime = substr ($myrest, 5, 8) ;
        $myrest = substr ($myrest, 14) ;

        # Ausgabe (wenn Tag < 10, dann fuehrendes Leerzeichen)
        $myoutput = $myday < 10 ? "%s  %d %s %s %s" : "%s %s %s %s %s" ;
printf $myoutput, $MYMONTHBYVAL[$mymon], $myday, $mytime, $myhost, $myrest ;
}

############# Trendkonverter - ENDE
##########################################################################################

##########################################################################################
############# Modifikationen an mailgraph.pl - ANFANG
############# einfach nach der Zeile "elsif($prog eq 'avgatefwd' or $prog
eq 'avmailgate.bin')"
############# suchen und folgendes davor einfügen

        elsif($prog eq 'smtp') {
                # Trendmicro Viruswall 3.xx
                if($text =~ /contains a virus/) {
                        event($time, 'virus');
                }
        }

############# Modifikationen an mailgraph.pl - ANFANG
##########################################################################################

Da die Files bei uns GPG-verschlüsselt vorliegen und es mehr als eine
Maschine gibt, kommt noch das folgende Wrapper-Skript dazu:

##########################################################################################
############# Aufrufskript - ANFANG

# GPG-Daten
GPG=/pfad/zu/gpg
PASS=/pfad/zur/passphrase

# Trend konverter
CVTREND=/pfad/zum/trend-converter

# Ausgabedatei
AUSGABE=/pfad/zum/ausgabefile

for myfile in $*
do
	cat "${PASS}" | \
		$GPG --passphrase-fd 0 --batch -q -d ${myfile} | \
		gzip -cd | \
		$CVTREND
done | egrep "contains a virus" | sort -k1,4 >${AUSGABE}

############# Aufrufskript - ENDE
##########################################################################################

Viele Grüße, Jan