Сверка по «черным спискам» для прокси-сервера #ИДЕЯ

Привет всем!

Коллега поделился идеей выполнять сверку по blacklist’ам для логов прокси сервера (например squid).

Пишется функция (используется функционал custom functions), которая выполняет сверку поля (предположительно IP или Hostname), получаемого из логов прокси, с текстовым файлом-«черным списком». При успешном результате пишет некое значение, например «Blacklist match» в поле userdataX события.

Таким образом по значению данного поля можно настраивать alert’ы в правилах OSSIM.