<div class="gmail_quote">On Thu, Feb 16, 2012 at 3:23 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On 02/16/2012 09:05 PM, Brant Wells wrote:<br>
> On Thu, Feb 16, 2012 at 2:36 PM, Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>> wrote:<br>
><br>
>> On 02/16/2012 08:08 PM, Brant Wells wrote:<br>
>>>><br>
>>>>>> The first one: a growing single file or socket of JSON lines which a<br>
>>>>>> script can read from and execute actions based on.  I'd be happy to<br>
>>>>>> write such a script for plugins like CIF, Virustotal and <a href="http://malwr.com" target="_blank">malwr.com</a>.<br>
>>>><br>
>>><br>
>>> I submitted a (set) of scripts to the list a few days ago, but have not<br>
>>> heard anything back.  I had the scripts attached as text files to the<br>
>>> message (are we not allowed to do that?).<br>
>><br>
>> There are no pending moderator request. Are you sure you sent it to the<br>
>> correct list?<br>
><br>
><br>
> That's always possible...  I've reattached them to this email.  I have been<br>
> using the scripts for several weeks now.  The surilog script is where the<br>
> magic happens with the FIFO, et al.<br>
><br>
> The startsuricata is a script I use for starting Surilog, Suricata (and<br>
> BY2) since I'm terrible with init scripts, lol.<br>
><br>
> And the logrotate one is for log rotation.  I have mine set at 300megs /<br>
> daily.<br>
><br>
> See if those will work for what he's wanting.<br>
<br>
</div></div>Brant, have you looked at the unix socket support for http.log as well?<br>
Might make it even easier.</blockquote><div><br></div><div>Actually, no, I haven't.  I didn't realize that kind of support was there, and I'm not sure I understand the uses for the unix socket support... I started working on the scripts a while back when someone gave me the idea to use a FIFO...  </div>
<div><br></div><div>How would it be different?</div><div><br></div><div><br></div></div>