Eu gostaria de tentar um DNS reverso antes de armazenar os logs do firewall. Eu sei que isso é possível no logstash, mas não sei se o syslog-ng pode ser configurado para fazer o mesmo. Na verdade, meus logs provenientes do pfsense são analisados com um analisador csv:
parser p_pfsense {
csv-parser(
columns("PFSENSE.Rule_Number","PFSENSE.Sub_rule_number",...)
delimiters(",")
);
};
Então já tenho todos os campos do firewall, como ${PFSENSE.sourceip}, mas não sei se um campo pode ser processado por script externo antes de armazená-lo.
Lembre-se de que não estou solicitando o nome do host (${HOST}) do remetente, mas sim um campo ip dentro da mensagem de log.