<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.3562" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=218061800-22072009>Yes, first you need to get Apache to send its messages 
into the syslog system. That's the key.&nbsp;Once the messages&nbsp;are 
in&nbsp;the system&nbsp;you will be able to&nbsp;instruct syslog-ng to filter 
them any way you want and send them anywhere you want. It's very 
flexible.</SPAN></FONT></DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=218061800-22072009></SPAN></FONT>&nbsp;</DIV>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=218061800-22072009>Joe.</SPAN></FONT></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> syslog-ng-bounces@lists.balabit.hu 
[mailto:syslog-ng-bounces@lists.balabit.hu] <B>On Behalf Of </B>lance 
raymond<BR><B>Sent:</B> 21 July 2009 20:49<BR><B>To:</B> Syslog-ng users' and 
developers' mailing list<BR><B>Subject:</B> Re: [syslog-ng] Before the basic 101 
questions<BR></FONT><BR></DIV>
<DIV></DIV>lol on the signature line!&nbsp;&nbsp; But thanks.&nbsp;&nbsp; I am 
going to end this thread with this last question (and answer) then move to the 
next.&nbsp; I will have to look at a filter then as I don't want ALL the 
messages to goto the remote log, just the apache ones.&nbsp; Wait as I type and 
think.&nbsp; I will in fact have apache write them to /var/log/messages, but 
there will be a filter setup (somehow) to take the web-ones, and based on that 
filter use a different destination (that is part 2)..<BR><BR>Right?&nbsp; Please 
say right, please say right...&nbsp; And yes if so, It's more the apache URL 
posted a bit earlier to read and undersand to send the logs to syslog not the 
actual file.&nbsp; My head hurts&nbsp; :(<BR><BR>
<DIV class=gmail_quote>On Tue, Jul 21, 2009 at 2:23 PM, Fegan, Joe <SPAN 
dir=ltr>&lt;<A href="mailto:Joe.Fegan@hp.com">Joe.Fegan@hp.com</A>&gt;</SPAN> 
wrote:<BR>
<BLOCKQUOTE class=gmail_quote 
style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
  <DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff size=2>I 
  think&nbsp;you're missing part of the picture. Apache writes its messages to 
  private log files and what you are trying to do (though I'm not sure you know 
  that) is feed the live content of those files into the syslog-ng logging 
  system in real time. Once you get that&nbsp;feed&nbsp;into syslog-ng working 
  then yes forwarding syslog-ng messages to&nbsp;a remote location is fairly 
  straightforward and people will be able to give you lots of example of how to 
  do that. But you need to get step one working first.</FONT></SPAN></DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN>&nbsp;</DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff size=2>So I think 
  you need to adopt a three phase approach. First get your Apache logs feeding 
  into syslog-ng on the local nodes and thereby appearing in /var/log/messages. 
  Once you have that working, figure how to filter them&nbsp;out from&nbsp;the 
  rest of the syslog traffic and send them to local files written by syslog-ng. 
  Third figure out how to send them to a remote server.</FONT></SPAN></DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN>&nbsp;</DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff size=2>Those are 
  my thoughts anyway, your mileage may vary.</FONT></SPAN></DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff 
  size=2></FONT></SPAN>&nbsp;</DIV>
  <DIV dir=ltr align=left><SPAN><FONT face=Arial color=#0000ff 
  size=2>Joe.</FONT></SPAN></DIV><BR>
  <DIV lang=en-us dir=ltr align=left>
  <HR>
  <FONT face=Tahoma size=2>
  <DIV class=im><B>From:</B> <A href="mailto:syslog-ng-bounces@lists.balabit.hu" 
  target=_blank>syslog-ng-bounces@lists.balabit.hu</A> [mailto:<A 
  href="mailto:syslog-ng-bounces@lists.balabit.hu" 
  target=_blank>syslog-ng-bounces@lists.balabit.hu</A>] <B>On Behalf Of 
  </B>lance raymond<BR></DIV><B>Sent:</B> 21 July 2009 16:33
  <DIV>
  <DIV></DIV>
  <DIV class=h5><BR><B>To:</B> Syslog-ng users' and developers' mailing 
  list<BR><B>Subject:</B> Re: [syslog-ng] Before the basic 101 
  questions<BR></DIV></DIV></FONT><BR></DIV>
  <DIV>
  <DIV></DIV>
  <DIV class=h5>
  <DIV></DIV>Not sure on that last post.&nbsp; Each webserver's vhosts name the 
  logs in the following manner (ws = 
  webserver);<BR>ws1.sitename.com-access<BR>ws1.sitename,com-error<BR>ws1.othersite.com-access&nbsp; 
  ... and so on.&nbsp; <BR><BR>So I simply want to send every file (rather than 
  logging local) to goto the central.&nbsp; When I look at the central, I will 
  have only log folder 
  with;<BR>ws1.sitename.com-access<BR>ws2.sitename.com-access&nbsp; ... and so 
  on<BR><BR>The post above noticed I was doing a folder (/var/log/apache2) where 
  I don't know if you can say for the source /var/log/apache2/*&nbsp;&nbsp; or 
  something.<BR><BR>I am also puzzled as this to me is a real basic thing.&nbsp; 
  Take ALL apache logs and send to remote box.&nbsp; No-one has come and said, 
  here is my config and it works fine.&nbsp; Just something that I can look at 
  an entire server and client to see how it's done (which is why I posted 
  mine).<BR><BR>Really thought this was an easy thing.&nbsp; Even using 
  webmin.&nbsp; There is no clear cut, a server is setup like this, remote 
  client like that.&nbsp; Fustrating is not even the start of how to describe 
  this, but thanks for all replies so far.<BR><BR>
  <DIV class=gmail_quote>On Tue, Jul 21, 2009 at 3:44 AM, Siem Korteweg <SPAN 
  dir=ltr>&lt;<A href="mailto:Siem.Korteweg@qnh.nl" 
  target=_blank>Siem.Korteweg@qnh.nl</A>&gt;</SPAN> wrote:<BR>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">Lance,<BR><BR>Depending 
    on how you want to process the collected logfiles, you can also<BR>configure 
    Apache:<BR><BR>ErrorLog syslog:local1<BR>CustomLog "|/usr/bin/logger -t 
    apache -i -p local6.notice" combined<BR><BR>This can be done global (for all 
    virtual hosts) or per virtual host. How to<BR>add the name of the virtual 
    host to the messages in the access logs can be<BR>found here: <A 
    href="http://httpd.apache.org/docs/2.0/logs.html" 
    target=_blank>http://httpd.apache.org/docs/2.0/logs.html</A><BR><BR>All that 
    remains to be done is to forward syslog from the client with 
    the<BR>webservers to the syslog-ng server.<BR><BR>regards,<BR><BR>Siem 
    Korteweg<BR><BR>-----Oorspronkelijk bericht-----<BR>Van: <A 
    href="mailto:syslog-ng-bounces@lists.balabit.hu" 
    target=_blank>syslog-ng-bounces@lists.balabit.hu</A> namens lance 
    raymond<BR>Verzonden: di 21-7-2009 4:07<BR>Aan: Syslog-ng users' and 
    developers' mailing list<BR>Onderwerp: Re: [syslog-ng] Before the basic 101 
    questions<BR>
    <DIV>
    <DIV></DIV>
    <DIV><BR>Joe, thanks for the update. &nbsp; &nbsp;Yes, that is the directory 
    name. &nbsp;Now<BR>regarding the "file", I will start a little more reading, 
    but I don't think<BR>I would have to do this for each file right? &nbsp;This 
    server (along with the<BR>others in the cluster) have 12 or so virtual 
    sites, each with it's own<BR>access and error log, so that would be at least 
    24 'file' sources. &nbsp;Is there<BR>a way to wildcard it?<BR><BR>Also, (I 
    know this too is a basic Q) but are these defined on the<BR>server/client or 
    both? &nbsp;I still don't see how they mesh, but soon, oh soon<BR>when that 
    light comes on!<BR><BR>Thanks<BR><BR>On Mon, Jul 20, 2009 at 8:38 PM, Fegan, 
    Joe &lt;<A href="mailto:Joe.Fegan@hp.com" 
    target=_blank>Joe.Fegan@hp.com</A>&gt; wrote:<BR><BR>&gt; &nbsp;I'm no 
    apache expert, but I think /var/log/apache2 is the name of a<BR>&gt; 
    directory that contains apache log files, right? But you have defined it 
    as<BR>&gt; a unix-stream source:<BR>&gt;<BR>&gt; source inputs { 
    internal();<BR>&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 
    unix-stream("/var/log/apache2");<BR>&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 
    &nbsp; &nbsp; &nbsp; udp();<BR>&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 
    &nbsp; &nbsp; &nbsp; tcp(max_connections(100)); };<BR>&gt;<BR>&gt; 
    unix-stream is for reading a socket, not a directory, so this can't 
    work...<BR>&gt;<BR>&gt; You can use "file" sources for individual files in 
    that directory..<BR>&gt;<BR>&gt; 
    &nbsp;------------------------------<BR>&gt; *From:* <A 
    href="mailto:syslog-ng-bounces@lists.balabit.hu" 
    target=_blank>syslog-ng-bounces@lists.balabit.hu</A> [mailto:<BR>&gt; <A 
    href="mailto:syslog-ng-bounces@lists.balabit.hu" 
    target=_blank>syslog-ng-bounces@lists.balabit.hu</A>] *On Behalf Of *lance 
    raymond<BR>&gt; *Sent:* 20 July 2009 21:52<BR>&gt; *To:* Syslog-ng users' 
    and developers' mailing list<BR>&gt; *Subject:* Re: [syslog-ng] Before the 
    basic 101 questions<BR>&gt;<BR>&gt; ok, here is the update. I have built a 
    standalone ubuntu box to be the<BR>&gt; central server so now have that I 
    can 'play' with. &nbsp;It's a clean<BR>install,and<BR>&gt; really not sure 
    what to do as this list seems to be the best resource. &nbsp;So,<BR>&gt; I 
    would think you can specify 'a' logfile, but I need ALL the apache 
    logs<BR>&gt; centrally located, so going to say, take everything from 
    /var/log/apache2<BR>&gt; and send it to the central log 
    server.<BR>&gt;<BR>&gt; The central log server as I said is a default setup, 
    due to size, I copied<BR>&gt; them up to a play webserver, the server can be 
    seen here;<BR></DIV></DIV>&gt; server.conf &lt;<A 
    href="http://www.darkerforce.com/server.conf" 
    target=_blank>http://www.darkerforce.com/server.conf</A>&gt;<BR>
    <DIV>&gt; and the client here (the only thing changed is the remote 
    IP)<BR></DIV>&gt; client.conf &lt;<A 
    href="http://www.darkerforce.com/client.conf" 
    target=_blank>http://www.darkerforce.com/client.conf</A>&gt;<BR>
    <DIV>
    <DIV></DIV>
    <DIV>&gt;<BR>&gt; When left like that and syslog-ng is started on the client 
    I get the<BR>&gt; following;<BR>&gt;<BR>&gt; Error binding socket; 
    addr='AF_UNIX(/var/log/apache2)', error='Address<BR>&gt; already in use 
    (98)'<BR>&gt; Error initializing source driver; 
    source='inputs'<BR>&gt;<BR>&gt; As I said before, I am not looking for 
    anything complex, etc. &nbsp;Just want<BR>&gt; ALL the weblogs to goto one 
    box which is really the function of syslog-ng.<BR>&gt; I am sure there is 
    one or two things that need a tweak, and I can go from<BR>&gt; 
    there.<BR>&gt;<BR>&gt; Thanks.<BR>&gt;<BR>&gt;<BR>&gt; On Wed, Jul 15, 2009 
    at 3:45 AM, Sandor Geller &lt;<BR>&gt; <A 
    href="mailto:Sandor.Geller@morganstanley.com" 
    target=_blank>Sandor.Geller@morganstanley.com</A>&gt; 
    wrote:<BR>&gt;<BR>&gt;&gt; Hi,<BR>&gt;&gt;<BR>&gt;&gt; On Tue, Jul 14, 2009 
    at 10:06 PM, lance raymond&lt;<A href="mailto:lance.raymond@gmail.com" 
    target=_blank>lance.raymond@gmail.com</A>&gt;<BR>&gt;&gt; wrote:<BR>&gt;&gt; 
    &gt; What I thought of was to make each file unique;<BR>&gt;&gt; &gt; ws = 
    webserver;<BR>&gt;&gt; &gt;<BR>&gt;&gt; &gt; 
    ws1.domain.com-access_log<BR>&gt;&gt; &gt; 
    ws2.domain.com-access_log<BR>&gt;&gt; &gt;<BR>&gt;&gt; &gt; and just write 
    them each to an nfs share.<BR>&gt;&gt;<BR>&gt;&gt; It'd not the name of the 
    files which matter. When a single process<BR>&gt;&gt; (like syslog-ng) 
    writes to a file then NFS behaves well. The problems<BR>&gt;&gt; start when 
    there are multiple processes trying to access the same<BR>&gt;&gt; file. 
    Disabling attribute caching in the NFS client could help, but<BR>&gt;&gt; 
    this could have a big impact on performance.<BR>&gt;&gt;<BR>&gt;&gt; &gt; 
    Not flaming the group at all, actually Bazsi your name shows up 
    more<BR>&gt;&gt; than<BR>&gt;&gt; &gt; any of my normal mail :) &nbsp; But, 
    I have tried twice with a reply or two,<BR>&gt;&gt; and<BR>&gt;&gt; &gt; 
    once conf files were sent up and/or shown the thread died. &nbsp;I see 
    some<BR>&gt;&gt; very<BR>&gt;&gt; &gt; intersting questions, answers on the 
    group and it would be nice to see<BR>&gt;&gt; some<BR>&gt;&gt; &gt; of these 
    things, but really, I am talking about a handful of webservers<BR>&gt;&gt; 
    &gt; (nothing fancy) just to write to a central log and it's not 
    working.<BR>&gt;&gt; The<BR>&gt;&gt; &gt; basic syslog @server worked 
    perfect, since the platform updates, just<BR>&gt;&gt; not<BR>&gt;&gt; &gt; 
    working, but I appreciate the reply.<BR>&gt;&gt;<BR>&gt;&gt; So could you 
    please tell what is the actual problem?<BR>&gt;&gt;<BR>&gt;&gt; 
    Regards,<BR>&gt;&gt;<BR>&gt;&gt; 
    Sandor<BR>&gt;&gt;<BR>&gt;&gt;<BR>_____________________________________________________________________________<BR>_<BR>&gt;&gt; 
    Member info: <A href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" 
    target=_blank>https://lists.balabit.hu/mailman/listinfo/syslog-ng</A><BR>&gt;&gt; 
    Documentation:<BR>&gt;&gt; <A 
    href="http://www.balabit.com/support/documentation/?product=syslog-ng" 
    target=_blank>http://www.balabit.com/support/documentation/?product=syslog-ng</A><BR>&gt;&gt; 
    FAQ: <A href="http://www.campin.net/syslog-ng/faq.html" 
    target=_blank>http://www.campin.net/syslog-ng/faq.html</A><BR>&gt;&gt;<BR>&gt;&gt;<BR>&gt;<BR>&gt;<BR>&gt;<BR>_____________________________________________________________________________<BR>_<BR>&gt; 
    Member info: <A href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" 
    target=_blank>https://lists.balabit.hu/mailman/listinfo/syslog-ng</A><BR>&gt; 
    Documentation:<BR>&gt; <A 
    href="http://www.balabit.com/support/documentation/?product=syslog-ng" 
    target=_blank>http://www.balabit.com/support/documentation/?product=syslog-ng</A><BR>&gt; 
    FAQ: <A href="http://www.campin.net/syslog-ng/faq.html" 
    target=_blank>http://www.campin.net/syslog-ng/faq.html</A><BR>&gt;<BR>&gt;<BR>&gt;<BR><BR></DIV></DIV><BR>______________________________________________________________________________<BR>Member 
    info: <A href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" 
    target=_blank>https://lists.balabit.hu/mailman/listinfo/syslog-ng</A><BR>Documentation: 
    <A href="http://www.balabit.com/support/documentation/?product=syslog-ng" 
    target=_blank>http://www.balabit.com/support/documentation/?product=syslog-ng</A><BR>FAQ: 
    <A href="http://www.campin.net/syslog-ng/faq.html" 
    target=_blank>http://www.campin.net/syslog-ng/faq.html</A><BR><BR><BR></BLOCKQUOTE></DIV><BR></DIV></DIV></DIV><BR>______________________________________________________________________________<BR>Member 
  info: <A href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" 
  target=_blank>https://lists.balabit.hu/mailman/listinfo/syslog-ng</A><BR>Documentation: 
  <A href="http://www.balabit.com/support/documentation/?product=syslog-ng" 
  target=_blank>http://www.balabit.com/support/documentation/?product=syslog-ng</A><BR>FAQ: 
  <A href="http://www.campin.net/syslog-ng/faq.html" 
  target=_blank>http://www.campin.net/syslog-ng/faq.html</A><BR><BR><BR></BLOCKQUOTE></DIV><BR></BODY></HTML>