The flags(final) goes at the end of the log statement, not the destination.<BR>&nbsp;<BR>Cheers,<BR>&nbsp;<BR>Steve<BR>----- Message d'origine -----<BR>De: "Michael J. Bauer" &lt;mjbauer@eecs.tufts.edu&gt;<BR>Date: Jeudi, 24 Septembre 2009, 23:00<BR>Objet: [syslog-ng] flags(final)<BR>À: syslog-ng@lists.balabit.hu<BR><BR>&gt; I think I am misunderstanding what flags(final) is supposed to <BR>&gt; do.&nbsp; I'm <BR>&gt; running syslog-ng 2.1.4 on RHEL 5.4 (Tikanga).<BR>&gt; <BR>&gt; I have a fairly simple syslog-ng configuration, which I've <BR>&gt; attached <BR>&gt; below.&nbsp; I'm trying to pick off individual groups of log <BR>&gt; entries and put <BR>&gt; them in their own individual files.&nbsp; I want to ensure that <BR>&gt; each gets <BR>&gt; logged exactly once, so I'm using flags(final).&nbsp; I also <BR>&gt; have a catch-all <BR>&gt; at the end in case I've missed something, but the ultimate goal <BR>&gt; is to <BR>&gt; have that file present, but empty.<BR>&gt; <BR>&gt; However, with this configuration, the log entries that appear in <BR>&gt; d_network_address_translation (/var/log/network-address-<BR>&gt; translation) <BR>&gt; also appear in d_default (/var/log/default) despite the presence <BR>&gt; of <BR>&gt; flags(final) on an earlier log() line.&nbsp; Should it work this <BR>&gt; way?&nbsp; If so, <BR>&gt; what can I do to get the desired behavior?<BR>&gt; <BR>&gt; Thanks,<BR>&gt; MJB<BR>&gt; <BR>&gt; options {<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; sync (0);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; time_reopen (10);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; log_fifo_size (1000);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; long_hostnames (off);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; use_fqdn (no);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; create_dirs (no);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keep_hostname (yes);<BR>&gt; };<BR>&gt; <BR>&gt; source s_sys {<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file ("/proc/kmsg" <BR>&gt; log_prefix("kernel: "));<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; unix-stream ("/dev/log");<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; internal();<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; udp(ip(0.0.0.0) port(514));<BR>&gt; };<BR>&gt; <BR>&gt; destination <BR>&gt; d_network_address_translation&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { <BR>&gt; file("/var/log/network-address-translation"); };<BR>&gt; destination <BR>&gt; d_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; { file("/var/log/default"); };<BR>&gt; <BR>&gt; filter f_network_address_translation { host("router-service-<BR>&gt; interface") and<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; priority(info) and<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; facility(local2) and<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; match("FWNAT"); };<BR>&gt; <BR>&gt; log { source(s_sys);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; filter(f_network_address_translation);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <BR>&gt; destination(d_network_address_translation);&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(final); };<BR>&gt; log { source(s_sys);<BR>&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination(d_default); };<BR>&gt; <BR>&gt; ______________________________________________________________________________<BR>&gt; Member info: https://lists.balabit.hu/mailman/listinfo/syslog-ng<BR>&gt; Documentation: <BR>&gt; http://www.balabit.com/support/documentation/?product=syslog-ng<BR>&gt; FAQ: http://www.campin.net/syslog-ng/faq.html<BR>&gt;