<p>On Mon, 2007-05-21 at 09:23 -0500, Ivey, Chris wrote:<br>&gt; As I was discussing this issue with a colleague this AM, the question<br>&gt; arose as to whether or not the restamping of messages from syslog-ng<br>&gt; can be turned on and off for selected destinations, or if that was a
<br>&gt; global option.&nbsp; Anyone know?</p>
<div>If you can provide an example of the following we can provide some recommendations:</div>
<div>&nbsp;</div>
<div>1. Original syslog message </div>
<div>2. Current forwarded syslog message (received&nbsp;by ArcSight)</div>
<div>3. Desired forwarded syslog message (the format ArcSight requires)</div>
<div>4. Your syslog-ng.conf (remove any IP&#39;s or other private info)</div>
<div>&nbsp;</div>
<div>Should be easy to solve either with templates or modifying syslog-ng options.&nbsp; Also let us know if there are multiple syslog-ng servers involved (e.g. Unix server forwarding to centralized syslog-ng server forwarding to ArcSight).
</div>