Thanks for the replies. To address a few of the questions: 1) the receiving end is a splunk instance 2) I have verified the existence of the &lt;number&gt; with tcpdump, so its not the receiving end injecting the value.

3) The logs been written locally by syslog-ng do NOT have the number injected 4) The template didn&#39;t seem to fix the problem 5) This also happens when using the program() destination Bellow are some details regarding the 2 tests I&#39;ve ran.&nbsp; The numbers do change but not very quickly.&nbsp; I haven&#39;t been able to tell if they increment or decrement or are just random.

<br><br>Quite perplexing.&nbsp; I think my next steps will be to recreate this issue on a totally separate node and installation of syslog-ng.<br><br><br>-Allen<br><br><br><br><br>----- details regarding the upd forwarder-------------

Bellow is the destination clause in its entirety with addresses changed to protect the innocent. I&#39;ve tried it with and without the NGTOKEN literal just to prove to myself that the number was not part of any of the macros.

<br><br>destination forwardHost {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tcp(&quot;<a href="http://1.1.1.1">1.1.1.1</a>&quot; port(1) template(&quot;NGTOKEN $ISODATE $FACILITY $LEVEL $MSG\n&quot;));<br>};<br><br>Just to sanity check this again, I setup a filter to match local1 traffic and forward it while doing a packet capture from the syslog host using tcpdump in ASCII mode:

<br><br>13:48:16.736077 IP syslogngHost.47468 &gt; 1.1.1.1.1: P 3847271716:3847271778(62) ack 4053481885 win 5840 &lt;nop,nop,timestamp 11894280 1181945548&gt;<br>E..r4+@.@..)<br>.<br>.<br>.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ).l&#39;..P.$..9.....C......

<br>..~.Fs..<b>&lt;142&gt;NGTOKEN 2007-12-20T13:48:16-0700 local1 info allen: test</b><br><br>13:48:16.736572 IP nocbuild01.overstock.com.distinct32 &gt; syslog01.se.overstock.com.47468: . ack 62 win 5792 &lt;nop,nop,timestamp 1181966237 11894280&gt;

<br>E..4X{@.8...<br>.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; )<br>.<br>.&#39;..l..9..P.b....l......<br><br><br><br>------------- details regarding the program() forwarder -----------------<br><br><br>my program consists of:<br>#!/usr/bin/perl<br>while(&lt;STDIN&gt;)

<br>{ <br>&nbsp;&nbsp; $line = $_;<br>&nbsp;&nbsp; open(F,&quot;&gt;&gt;/tmp/loggerOutput&quot;) or die &quot;no open: $!&quot;;<br>&nbsp;&nbsp; print F $line . &quot;\n&quot;;<br>&nbsp;&nbsp; close(F); <br>}<br><br>Running some quick logger tests<br><br>&lt;142&gt;Dec 20 13:59:38 alshost allen: test

<br><br>&lt;142&gt;Dec 20 13:59:40 alshost allen: test<br><br>&lt;142&gt;Dec 20 13:59:40 alshost allen: test2<br><br>&lt;142&gt;Dec 20 13:59:42 alshost allen: test3<br><br><br><br><br><br><br><br><br><br><br><div class="gmail_quote">

On Dec 20, 2007 11:16 AM, Eli Stair &lt;<a href="mailto:estair@ilm.com">estair@ilm.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<br>Hey Allen,<br><br>I&#39;d say that if you /are/ seeing &#39;38&#39; (or anything over 23) as a number<br>pre-pended, it&#39;s not the facility which was my first guess. &nbsp;Could be reporting<br>PID or other internal identifier of the sender, which some devices I see seem

<br>to use. &nbsp;Just speculation.. Does the number change, if so how?<br><br>To verify that&#39;s actually being /sent/ by the syslog-ng forwarder, check the<br>output when logging to a local file as well as the remote forward using the

<br>same src:template, and see if it shows up in both, as well look at the packets<br>as they hit the wire and see if it&#39;s in the payload. &nbsp;If it IS being sent by<br>your relay, also verify that it isn&#39;t actually in the payload sent by your log

client. &nbsp;Can you post the template/src/dest stanzas if you find it IS being generated by the syslog-ng relay? There&#39;s obvious likelihood that it&#39;s not syslog-ng on the sending host in question, but at the receiving end or originating sender adding this.

<br><br>/eli<br><div class="Ih2E3d"><br><br><br>Allen Bettilyon wrote:<br>&gt; Hello,<br>&gt;<br>&gt; I&#39;m doing some pretty basic syslog forwarding using syslog-ng 1.6.2.<br>&gt;<br>&gt; Essentially, I&#39;ve got the following:

<br>&gt;<br>&gt; destination remoteHost {<br></div>&gt; &nbsp; &nbsp; &nbsp; tcp(&quot;<a href="http://1.1.1.1" target="_blank">1.1.1.1</a> &lt;<a href="http://1.1.1.1" target="_blank">http://1.1.1.1</a>&gt; port 9999&quot;);<br><div class="Ih2E3d">

&gt; };<br>&gt;<br>&gt;<br>&gt; The forwarding is working correctly, however on the remote side all my<br>&gt; log lines are prepended with a &lt;number&gt; tag.<br>&gt;<br>&gt; For example: &nbsp; Some log line<br>&gt; turns into: &nbsp;&lt;38&gt;Some log line

&gt; &gt; I&#39;ve tried creating a custom template, but the &lt;number&gt; is always added &gt; to the log lines when the arrive at the remote host. &gt; &gt; Why is this happening and is there a way to turn it off?

<br>&gt;<br>&gt; Thanks,<br>&gt;<br>&gt; - Allen Bettilyon<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br><br></div><div><div></div><div class="Wj3C7c">_______________________________________________<br>syslog-ng maillist &nbsp;- &nbsp;

<a href="mailto:syslog-ng@lists.balabit.hu">syslog-ng@lists.balabit.hu</a><br><a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>Frequently asked questions at 

<a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br><br></div></div></blockquote></div><br>