Hi, I think your input file is /var/log/snmptt/snmpttunknown.log. It should be the file where the traps are logged. The outputs seems correct, I mean, there is no error loading the sec rule you wrote.
If you're sure that /var/log/snmptt/snmpttunknown.log contains lines that match the pattern, you can force to re-read all the file from the beginning: perl sec.pl <http://sec.pl> -conf=my2.conf -input=/var/log/snmptt/snmpttunknown.log -fromstart If still does not work, it is a good idea that sec rule read information from the stdin, in this way: perl sec.pl <http://sec.pl> -conf=my2.conf -input=- Once it started, you can enter information through stdin. Try to paste: Fri May 21 11:44:16 2010: Unknown trap (OID) received from > 10.15.112.38 at: Good luck br Bufalo escribió: > Hi, > > Alberto, thanks for the quick answer but still not working. When i run > perl sec... i see the next output: > > # perl sec.pl <http://sec.pl> -conf=my2.conf > -input=/var/log/snmptt/snmptthandler.debug > SEC (Simple Event Correlator) 2.5.3 > Reading configuration from my2.conf > 1 rules loaded from my2.conf > Stdin connected to terminal, SIGINT can't be used for changing the > logging level > > Could it be the reason? > > thanks > > 2010/5/21 Alberto Losada <alos...@s21sec.com <mailto:alos...@s21sec.com>> > > Hi, > > It seems that you missed the input file to check against the rule: > > perl sec.pl <http://sec.pl> <http://sec.pl> -conf=my2.conf > -imput=/var/log/snmptt/snmptthandler.log > > br > > Bufalo escribió: > > Hi, > > > > i just want to integrate a SingleWithThreshold rule that works > like this: > > > > i receive a trap to /var/log/snmptt/snmpttunknown.log. The first > > trap's line in the log contains this: > > > > Fri May 21 11:44:16 2010: Unknown trap (OID) received from > > 10.15.112.38 at: > > > > where OID is a variable large number. Then i call this rule: > > > > > > #Don't show alert until it repeats 5 times in 1 minute > > type=SingleWithThreshold > > ptype=RegExp > > pattern=Unknown trap (\S+) > > desc=Mensaje de $1 > > action=shellcmd /home/javier/msg.sh --> this script is: #!/bin/sh > > (next line) echo umbral superado >> traps.log > > window=60 > > thresh=5 > > > > > > in this way: > > > > perl sec.pl <http://sec.pl> <http://sec.pl> -conf=my2.conf > > -syslog=/var/log/snmptt/snmptthandler.debug > > > > But it doesn´t writes nothing in traps.log. So, anyone knows > what am i > > doing surely wrong? > > > > thanks > > > ------------------------------------------------------------------------ > > > > > > ------------------------------------------------------------------------------ > > > > > > > ------------------------------------------------------------------------ > > > > _______________________________________________ > > Simple-evcorr-users mailing list > > Simple-evcorr-users@lists.sourceforge.net > <mailto:Simple-evcorr-users@lists.sourceforge.net> > > https://lists.sourceforge.net/lists/listinfo/simple-evcorr-users > > > > > -- > Alberto Losada Grande > Dpto Integración Productos Propios > > Tlf: 93 544 27 23 > Móvil: 607 81 36 89 > > www.s21sec.com <http://www.s21sec.com>, blog.s21sec.com > <http://blog.s21sec.com> > La seguridad digital del futuro, Hoy. > > La información contenida en este mail, así como los archivos > adjuntos, es CONFIDENCIAL. Grupo S21sec Gestión, S.A. garantiza la > adopción de las medidas necesarias para asegurar el tratamiento > confidencial de los datos de carácter personal. En el caso de que > el destinatario del correo no sea usted, le rogamos envíe una > notificación al remitente y lo destruya de forma inmediata. La > lectura y/o manipulación de esta información en la situación > señalada anteriormente será considerada ilegal, permitiendo a la > empresa remitente realizar acciones legales de diferente envergadura. > > -- Alberto Losada Grande Dpto Integración Productos Propios Tlf: 93 544 27 23 Móvil: 607 81 36 89 www.s21sec.com, blog.s21sec.com La seguridad digital del futuro, Hoy. La información contenida en este mail, así como los archivos adjuntos, es CONFIDENCIAL. Grupo S21sec Gestión, S.A. garantiza la adopción de las medidas necesarias para asegurar el tratamiento confidencial de los datos de carácter personal. En el caso de que el destinatario del correo no sea usted, le rogamos envíe una notificación al remitente y lo destruya de forma inmediata. La lectura y/o manipulación de esta información en la situación señalada anteriormente será considerada ilegal, permitiendo a la empresa remitente realizar acciones legales de diferente envergadura. ------------------------------------------------------------------------------ _______________________________________________ Simple-evcorr-users mailing list Simple-evcorr-users@lists.sourceforge.net https://lists.sourceforge.net/lists/listinfo/simple-evcorr-users