ok, so can anyone say how to troubleshoot the most basic scenario to start.&nbsp; 1 server, 1 client, have client write logs to server?&nbsp; I will show both config files, please note tI have tried both UDP and TCP and neither work.&nbsp; I did notice doing an lsof |grep syslog that the port does change from udp to tcp so I know it&#39;s reading the config file, I just don&#39;t know how to turn on some debugging or another way to trace the log as it&#39;s still being written to the client.<br>
<br>ok, so <b>server config is;</b><br>#source s_remote&nbsp; { udp(); };<br>source s_remote&nbsp; { tcp(); };<br>## This will create seprate file for each client on central log server and log http messages<br>destination d_clients { file(&quot;/var/log/web.$HOST.log&quot;); };<br>
log { source(s_remote); destination(d_clients); };<br>#################################################################<br><br>options {<br>sync (0);<br>time_reopen (10);<br>log_fifo_size (1000);<br>long_hostnames (off);<br>
use_dns (no);<br>use_fqdn (no);<br>create_dirs (no);<br>keep_hostname (yes);<br>};<br><br>source s_sys {<br>file (&quot;/proc/kmsg&quot; log_prefix(&quot;kernel: &quot;));<br>unix-stream (&quot;/dev/log&quot;);<br>internal();<br>
#udp(ip(0.0.0.0) port(514));<br>};<br><br>## This will log local http messages to defined file<br><br>destination send_http_logs { file(&quot;/var/log/web.log&quot;); };<br><br>filter send_http_logs {<br>program(&quot;httpd.*&quot;);<br>
};<br><br>log {<br>source(s_sys);<br>filter(send_http_logs);<br>destination(send_http_logs);<br>};<br><br>and the server shows the following running process;<br>root&nbsp;&nbsp;&nbsp;&nbsp; 30945&nbsp; 0.0&nbsp; 0.0&nbsp;&nbsp; 7240&nbsp;&nbsp; 636 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ss&nbsp;&nbsp; 11:24&nbsp;&nbsp; 0:00 /sbin/syslog-ng -p /var/run/syslogd.pid<br>
<br><b>Client side:</b><br><br>options {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; sync (0);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; time_reopen (10);<br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; log_fifo_size (1000);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; long_hostnames(on);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; use_dns(yes);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dns_cache(yes);<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; use_fqdn(no);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; create_dirs (yes);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keep_hostname (yes);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0640);<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dir_perm(0750);<br><br>};<br><br>source s_sys {<br>&nbsp;&nbsp; file (&quot;/proc/kmsg&quot; log_prefix(&quot;kernel: &quot;));<br>
&nbsp;&nbsp; unix-stream (&quot;/dev/log&quot;);<br>&nbsp;&nbsp; internal();<br>};<br>#destination send_http_logs { udp(&quot;192.168.2.54&quot; port(514)); };<br>destination send_http_logs { tcp(&quot;192.168.2.54&quot; port(514)); };<br><br>
<br>filter send_http_logs {<br>program(&quot;httpd.*&quot;);<br>};<br><br>log {<br>source(s_sys);<br>filter(send_http_logs);<br>destination(send_http_logs);<br>};<br><br>and the running process are;<br>root&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1607&nbsp; 0.0&nbsp; 0.0&nbsp;&nbsp; 6216&nbsp;&nbsp; 904 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ss&nbsp;&nbsp;&nbsp; 2008&nbsp;&nbsp; 0:48 syslogd -m 0<br>
root&nbsp;&nbsp;&nbsp;&nbsp; 28374&nbsp; 0.0&nbsp; 0.0&nbsp;&nbsp; 7368&nbsp;&nbsp; 564 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ss&nbsp;&nbsp; 11:24&nbsp;&nbsp; 0:00 /sbin/syslog-ng -p /var/run/syslogd.pid<br><br>Not sure if the client is supposed to have 2 processes or not, but any help is really appreciated.<br><br>