Я услышал подобный неоднократно, и по моему опыту это не работает. Образование пользователей является путем.
Включенный в мои обязанности поддерживает офисную сеть ~50 компьютеров, и мы не имеем в распоряжении решение прокси. Что я делаю, хотя к сразу брандмауэру кто-то прочь, если они вызывают проблемы. Затем пойдите и говорите с ними и объясните, почему я сделал это.
Это могло бы казаться немного резким, но это творит чудеса, они скоро понимают то, что они могут и не могут сделать, и обычно пользователи не делают того же самого дважды.
Обратите внимание, что у меня, вероятно, есть 1 инцидент в месяц, где у меня есть к брандмауэру кто-то прочь, и им будут обычно позволять назад о том, как только я закончил говорить с ними.
Мое решение для этих задач состоит в том, чтобы использовать OSSEC и настроить активный ответ, когда желаемое событие инициировало. Это частично подобно Вашей идее (использующий журналы), но с намного более сильной платформой и легко расширяемый...
Ссылка: http://www.ossec.net
Подобный womble - можно установить системный-журнал-ng и затем иметь системный-журнал-ng, выполняет процесс на соответствующих строках системного журнала.