9.2. syslog-ng

I restanti log di sistema, quelli che passano attraverso syslog (e ciò comprende i log della posta, di IMAP, degli accessi ssh di amministrazione...) vengono filtrati degli indirizzi e-mail ed IP direttamente nel demone syslog.

Per questo esiste una patch per syslog-ng, già presente di default in Debian, che permette di applicare un filtro mediante regexp (in /etc/syslog-ng/syslog-ng.conf:

filter f_strip { strip(ips); };
filter f_stripemail { strip("([0-9a-zA-Z]+[-._=+&])*[0-9a-zA-Z]+@([-0-9a-
zA-Z]+[.])+[a-zA-Z]{2,4}"); };
filter f_stripdomain { strip("([-0-9a-zA-Z]+[.]){2,}+([a-zA-Z]{2,4})"); };

Dopodiché è sufficiente inserire il filtro all'interno delle definizioni dei flussi:

filter f_proftpd { program("proftpd"); }; 
destination d_proftpd { file("/var/log/proftpd.log"); };
log {
        source(s_all);
        filter(f_proftpd);
        filter(f_strip);
        destination(d_proftpd);
        flags(final);
        };
      

Questo tipo di riscrittura dei log non altera la possibilità di usare tool di analisi statistica, se non per la possibilità di identificare connessioni provenienti da uno stesso utente riconoscendolo appunto dall'IP.