Eu preciso executar determinada ação quando uma mensagem específica (correspondente por exemplo regexp) chega na porta UDP (formato syslog). Como fazer isso (ou seja, usando softwere já disponível em oposição a escrever um à mão)?
Talvez você devesse dar uma olhada no rsyslog . Sua sintaxe é muito mais flexível e fácil que o syslogd. Também é muito mais poderoso no geral.
De qualquer forma, o que você deseja no rsyslog seria como
if ( regex ) then action
& another_action # This line could be ignored if you want only one action
O syslog-ng pode fazer isso com algo como:
destination d_special { program("/usr/local/bin/script"); };
filter f_special { match("regex"); };
log { source (s_all); filter(f_special); destination(d_special); };
Eu acho que este link para o logwatch manpage será útil.
Você pode usar o OSSEC para observar o padrão específico e usar o resposta ativa funcionalidade para fazer a ação desejada.
Tags monitoring syslog freebsd