<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'>
Hello;<br><br>I thought that I had all of my hosts setup to log into /var/log/ABCcorp/$FULLHOST/$FULLHOST.log by default if not already defined by another filter, but I am seeing that they log to multiple destinations instead.<br><br>For instance, I have a host named linksys-1000, logs for this host get sent into:<br><br>/var/log/ABCcorp/accesspoints/linksys-1000/linksys-1000.log<br><br>as well as <br><br>/var/log/ABCcorp/linksys-1000/linksys-1000.log<br><br>Also, I do not understand how /var/log/ABCcorp/$FULLHOST/$FULLHOST.log gets created and used in the first place, there is no filter setup like this.<br><br><br>Thanks all,<br><br>.vp<br><br><br>Here is a sample of my config file:<br><br>###########<br># Destinations #<br>##########<br><br>destination D_switch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/switches/$FULLHOST.log"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br>destination D_edge&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/edge_devices/$FULLHOST.log"&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br>destination D_firewall&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/firewalls/$FULLHOST.log"&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br>destination D_router&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/routers/$FULLHOST.log"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br>destination D_accesspoints { file("/var/log/ABCcorp/accesspoints/$FULLHOST.log"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br>destination D_udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/$FULLHOST.log"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644)); };<br><br>destination D_hosts&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/ABCcorp/$HOST/$YEAR/$MONTH/$DAY/$FACILITY_$HOST_$YEAR_$MONTH_$DAY"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes)); };<br><br>#######<br># Filters #<br>#######<br><br>destination D_db_discard&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/discard.log"); };<br><br><br>destination D_db_mysql {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pipe("/var/log/mysql.pipe"<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; template("INSERT INTO logs<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (host, facility, priority, level, tag, datetime, program, msg)<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC',<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; '$PROGRAM', '$MSG' );\n") template-escape(yes));<br><br><br>filter F_edge&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { host("edge*") or host("192.116.*"); };<br>filter F_router&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { host("gw*") or host("rtr") or host("router"); };<br>filter F_switch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { host("sw*") or host("sw1") or host("sw2"); };<br>filter F_firewall&nbsp;&nbsp;&nbsp; { host("^fw*"); };<br>filter F_accesspoints { host("^linksys*"); };<br>filter F_InternetIP&nbsp; { host("192.116.19.*"); };<br><br>#######<br>#&nbsp; Logs&nbsp;&nbsp; #<br>#######<br><br>log { source(S_udp); filter(F_switch); destination(D_switch); };<br>log { source(S_udp); filter(F_router); destination(D_router); };<br>log { source(S_udp); filter(F_edge); destination(D_edge); };<br>log { source(S_udp); filter(F_firewall); destination(D_firewall); };<br>log { source(S_udp); filter(F_accesspoints); destination(D_accesspoints); };<br><br><br>log { source(S_udp); destination(D_udp);};<br>log { source(S_udp); destination(D_db_mysql); };<br><br><br><br><br></body>
</html>