You are defining many log statements for the same source and destination pair. This is unnecessary and likely causing problems. Since you have one source (src) that you want to apply many filters to prior to writing out to (message), you should be consolidating all of 
your source(src) destination(messages) into one log command:<br>
<br>
log { source(src); filter(not_ntpd); filter(f_notice); filter(f_not_authpriv); filter(f_kern); filter(f_debug); filter(f_lpr); filter(f_info); filter(f_mail); filter(f_crit); destination(messages); };<br><br>If you want to log to files like /var/log/mail and /var/log/kern.log AS WELL as /var/log/messages, you can use that statement as-is. If you just want everything from source(src) to log to /var/log/messages, put a flags(final); at the end of your log statement, or just simplify and consolidate your log statement to:<br>
log { source(src); filter(not_ntpd); filter(f_not_authpriv); destination(messages); };<br><br>Remember the placement of your log statement containing flags(final); above or below your other log statements matters. If syslog-ng matches something and then sees a flags(final);, it will no longer write that log entry out to any other file afterwards.<br>
<br><br><div class="gmail_quote">On Tue, Feb 23, 2010 at 6:22 AM, Evan Baer <span dir="ltr">&lt;<a href="mailto:evan.d.baer@gmail.com">evan.d.baer@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hello,<br>
<br>
I&#39;m trying to exclude ntpd update messages from /var/log/messages.<br>
<br>
I have created a filter like so:<br>
    filter not_ntpd { not program(&quot;ntpd*&quot;); };<br>
<br>
And implemented it in my log lines:<br>
<br>
log { source(src); filter(not_ntpd); destination(messages); };<br>
log { source(src); filter(f_notice); filter(f_not_authpriv);<br>
filter(not_ntpd); destination(messages); };<br>
log { source(src); filter(f_kern); filter(f_debug); filter(not_ntpd);<br>
destination(messages); };<br>
log { source(src); filter(f_lpr); filter(f_info); destination(messages); };<br>
log { source(src); filter(f_mail); filter(f_crit); destination(messages); };<br>
<br>
Yet the lines for ntpd still seem to pass through to the logfile.<br>
<br>
Feb 23 09:20:48 magpie-shn1e1324 ntpd[37397]: synchronized to<br>
10.2.253.22, stratum 1<br>
Feb 23 09:20:49 magpie-shn1f1318 ntpd[729]: kernel time sync status change 2001<br>
<br>
Any thoughts?<br>
    -- Evan<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>
<br>
<br>
______________________________________________________________________<br>
This email has been scanned by the MessageLabs Email Security System.<br>
For more information please visit <a href="http://www.messagelabs.com/email" target="_blank">http://www.messagelabs.com/email</a><br>
______________________________________________________________________<br>
</blockquote></div><br><br clear="all"><br>-- <br>Lance Laursen<br>Demonware Systems Engineer<br>