Pro zpracování logu jsou k dispozici skripty spamstat, virstat a filterstat.
Aby skripty pracovaly správně, je nutné dodržovat "standardní" zkratky pro "důvod" (viz block-patterns.rb).
spamstat [-i] [-r] [-u]
Pracuje s default log souborem. Defaultně vypíše četnost mailů detekovaných jako spam testy TEST_STR_HEAD, TEST_STR_BODY a TEST_ATTACHMENT a k tomu četnost jednotlivých pravidel, např.
....
302 ... 46 italian.+craft.+rolex
515 ... 48 .\..\..\..
358 ... 88 viagra
342 ... 110 !--.+!--
514 ... 145 V\|@gra
470 ... 157 (penis|v.agra|viagr|pills|confidental|hydrocodone)
304 ... 203 enlarge.+your.+penis
-------------
1059
Parametry:
-i - četnost z IP adres počítačů, ze kterých spamy přišly
-r - vypíše i doménová jména (značně zpomalí)
-u - vypíše nikdy nepoužitá pravidla (lze použít pro vyřazení nepoužívaných
pravidel a optimalizaci filtru)
virstat [-i] [-r] [-u]
To samé pro viry.
Statistiku je možné využít pro detekci zavirovaných počítačů v LAN (za předpokladu, že posílají zavirované maily i na místní poštovní server, což je dost pravděpodobné). Např. seznam počítačů ze sítě 193.109.181.0 dostaneme příkazem
virstat -i | grep "193.109\.181\."
Obecně pro generování statistik z logů slouží skript filterstat (spamstat i virstat ho volají).
Použití:
cat logfile | filterstat <vzorek> [-i] [-r] [-u]
vzorek = spam, vir, noptr, badfrom, badhostname, forw
-i = četnost z IP adres
-r = vypisuj i doménová jména (zpomaluje)
-u = vypíše nikdy nepoužitá pravidla