Hello All,<br>
<br>
I was wondering which of the two formats below would you use when filtering using syslog-ng:<br>
<br>
filter f_pix &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; { match(PIX)
and not
match(&quot;1.2.3.4|1.2.3.4|1.2.3.4|1.2.3.4|netmask(&quot;<a href="http://1.2.3.4/28&quot;)|netmask(&quot;1.2.3.4/20&quot;)|netmask(&quot;1.2.3.4/22&quot;)|netmask(&quot;1.2.3.4/28&quot;)">1.2.3.4/28&quot;)|netmask(&quot;1.2.3.4/20&quot;)|netmask(&quot;1.2.3.4/22&quot;)|netmask(&quot;1.2.3.4/28&quot;)
</a>&quot;)<br>
&nbsp;&nbsp;&nbsp; &nbsp;};<br>
<br>
or......<br>
<br>
filter f_pix &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; { match(PIX)<br>
&nbsp;&nbsp;&nbsp; &nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; and not match(<a href="http://1.2.3.4">1.2.3.4</a>)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(<a href="http://1.2.3.4">1.2.3.4</a>)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(<a href="http://1.2.3.4">1.2.3.4</a>)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(<a href="http://1.2.3.4">1.2.3.4</a>)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(netmask(&quot;<a href="http://1.2.3.4/28&quot;))">1.2.3.4/28&quot;))</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(netmask(&quot;<a href="http://1.2.3.4/20&quot;))">1.2.3.4/20&quot;))</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(netmask(&quot;<a href="http://1.2.3.4/22&quot;))">1.2.3.4/22&quot;))</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
and not match(netmask(&quot;<a href="http://1.2.3.4/28&quot;))">1.2.3.4/28&quot;))</a><br>
&nbsp;&nbsp;&nbsp; &nbsp;};<br>
<br>
I am currently using the latter, but it seems as if the individual ips
and subnets would only be filtered if ALL is true. Would using &quot;|&quot;, like<br>
in the first format, check for each individual ip or subnet and filter
accordingly? When I say filter I mean, I would like everything except
for the individual IPs and subnets specified. I am not certain that
this is appropriate format for filtering subnets, please advise....<br>
<br>
Thank You, in advance for your assistance!!!<br>