Я тут чуть расширил задачу - изучаю логи POA на предмет Linux логинов со стороны GWIA. Это редкие роботы типа NetApp которые шлют автосаппорт,
кажется сюда же попадают заходы с вебаксесса. Остальное - люди с паролями 12345 (все сидят на GW клиентах и их видно как Windows Login). Будем натравливать на них безопасников.
А по скрипту блокировщику - по уму его пилить и пилить ,надо бы whitelist добавлять и все такое. Опять же False-Positive только руками. итд итп.
И логи GWIA пишутся очень отложенно.
UPD. Что делать с ленивостью записи в лог понятно.
Ибо у GWIA есть WEB-interface со своими логином и паролем, достаточно сделать
wget --user=<WebUserName> --password=<WebUserPassword>
http://192.168.100.207:9850/eventlog,
и то что не еще в логе сразу пишется в него (смотрю через tail -f). Можно вставить в скрипт перед запуском вышеописанного gwia_intruderblock.