
lol, thanks :-)<div>I&#39;m actually a bit surprised that nobody has said anything before (like our customers).</div><div>Maybe they have, but I did a bug search and didn&#39;t find anything. I&#39;ll have to dig deeper.</div>

<div><br></div><div>I know the concept of tcp syslog is still relatively new, so maybe it just hasn&#39;t come up yet.</div><div>I&#39;ll still have to see if what they have was done on purpose/by design or if it is, in fact, a bug (or design flaw?). I dunno, hopefully someone smarter than me can answer that, which shouldn&#39;t be too hard, heh.</div>

<div><br></div><div><br clear="all">______________________________________________________________ <br><br>Clayton Dukes<br>______________________________________________________________<br>

<br><br><div class="gmail_quote">On Thu, Aug 19, 2010 at 3:26 PM, Matthew Hall <span dir="ltr">&lt;<a href="mailto:mhall@mhcomputing.net">mhall@mhcomputing.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Thanks Clayton,<br>

<br>

I know how to explain things for networking people because I used to<br>

work at HP ProCurve. ;-)<br>

<br>

I really hope you can get this fixed because I think it will cause me<br>

problems at my new job.<br>

<font color="#888888"><br>

Matthew.<br>

</font><div><div></div><div class="h5"><br>

On Thu, Aug 19, 2010 at 03:13:24PM -0400, Clayton Dukes wrote:<br>

&gt; Matt,<br>

&gt; Thanks for that very good explanation, it&#39;s good ammo for me to approach the<br>

&gt; developers @ Cisco with :-)<br>

&gt;<br>

&gt; ______________________________________________________________<br>

&gt;<br>

&gt; Clayton Dukes<br>

&gt; ______________________________________________________________<br>

&gt;<br>

&gt;<br>

&gt; On Thu, Aug 19, 2010 at 1:21 PM, Matthew Hall &lt;<a href="mailto:mhall@mhcomputing.net">mhall@mhcomputing.net</a>&gt; wrote:<br>

&gt;<br>

&gt; &gt; This understanding is Not quite right. What we are talking about here is<br>

&gt; &gt; the difference between SOCK_STREAM and SOCK_DGRAM socket semantics.<br>

&gt; &gt;<br>

&gt; &gt; In a SOCK_DGRAM each PDU or segment is considered to be a separate<br>

&gt; &gt; atomic message, and each is delivered to the application separately. For<br>

&gt; &gt; a SOCK_DGRAM, a connection just means you have bound the socket to a<br>

&gt; &gt; specific remote address. It does not open and close for each message<br>

&gt; &gt; because it is not connection oriented.<br>

&gt; &gt;<br>

&gt; &gt; In a SOCK_STREAM each PDU or segment is considered to be additional<br>

&gt; &gt; bytes in a continuous flow of data. The application which receives data<br>

&gt; &gt; from a SOCK_STREAM has no way of seeing each PDU or segment<br>

&gt; &gt; individually, because the PDUs or segments are reassembled inside the<br>

&gt; &gt; kernel.<br>

&gt; &gt;<br>

&gt; &gt; There is no standard way of simply receiving each SOCK_STREAM packet<br>

&gt; &gt; separately because there is no relationship between the size of each<br>

&gt; &gt; PDU or segment and the size of the message. The size of the message is<br>

&gt; &gt; defined by the &#39;\n&#39;.<br>

&gt; &gt;<br>

&gt; &gt; This difference is also seen in UDP DNS versus TCP DNS. TCP DNS sends<br>

&gt; &gt; extra fields in the packets to keep track of the message sizes and UDP<br>

&gt; &gt; DNS does not.<br>

&gt; &gt;<br>

&gt; &gt; Matthew.<br>

&gt; &gt;<br>

&gt; &gt; On Thu, Aug 19, 2010 at 11:34:39AM -0400, Clayton Dukes wrote:<br>

&gt; &gt; &gt; bing! (light bulb just went off).<br>

&gt; &gt; &gt; I wasn&#39;t thinking about the whole established vs. non established<br>

&gt; &gt; connection<br>

&gt; &gt; &gt; thing.<br>

&gt; &gt; &gt; I couldn&#39;t figure out why, if UDP wasn&#39;t sending a newline, it wasn&#39;t<br>

&gt; &gt; &gt; causing the same problem. I wasn&#39;t thinking about the fact that the<br>

&gt; &gt; &gt; connection was closing, thus ending the stream.<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; Thanks for the help!<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; ______________________________________________________________<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; Clayton Dukes<br>

&gt; &gt; &gt; ______________________________________________________________<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; On Thu, Aug 19, 2010 at 11:29 AM, &lt;<a href="mailto:syslogng@feystorm.net">syslogng@feystorm.net</a>&gt; wrote:<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;  I explained it already :-)<br>

&gt; &gt; &gt; &gt; When the message comes in over TCP and doesnt end with a newline,<br>

&gt; &gt; syslog-ng<br>

&gt; &gt; &gt; &gt; assumes the message is going to be continued in another packet. When<br>

&gt; &gt; the<br>

&gt; &gt; &gt; &gt; cumulative total of all the messages exceeds the max message size it<br>

&gt; &gt; flushes<br>

&gt; &gt; &gt; &gt; the buffer out and you get all the messages mashed together at once.<br>

&gt; &gt; &gt; &gt; You can try filing a bug report on <a href="http://bugzilla.balabit.com" target="_blank">bugzilla.balabit.com</a> and request a<br>

&gt; &gt; new<br>

&gt; &gt; &gt; &gt; flag or something that treats each packet on a tcp source as a separate<br>

&gt; &gt; &gt; &gt; message, but I&#39;d say the problem is more cisco than syslog-ng since<br>

&gt; &gt; &gt; &gt; syslog-ng works fine with all other sources except cisco devices :-/<br>

&gt; &gt; &gt; &gt; Look at it this way, every thing that sends logs out to tcp expects the<br>

&gt; &gt; &gt; &gt; receiving syslog daemon to treat a packet without a newline as a<br>

&gt; &gt; message to<br>

&gt; &gt; &gt; &gt; be continued in a later packet. If syslog-ng changed that default<br>

&gt; &gt; behavior,<br>

&gt; &gt; &gt; &gt; all these other things that expect the behavior would break.<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; -Patrick<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Sent: Thursday, August 19, 2010 9:12:36 AM<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; From: Clayton Dukes &lt;<a href="mailto:cdukes@gmail.com">cdukes@gmail.com</a>&gt; &lt;<a href="mailto:cdukes@gmail.com">cdukes@gmail.com</a>&gt;<br>

&gt; &gt; &gt; &gt; To: Syslog-ng users&#39; and developers&#39; mailing list<br>

&gt; &gt; &gt; &gt; &lt;<a href="mailto:syslog-ng@lists.balabit.hu">syslog-ng@lists.balabit.hu</a>&gt; &lt;<a href="mailto:syslog-ng@lists.balabit.hu">syslog-ng@lists.balabit.hu</a>&gt;<br>

&gt; &gt; &gt; &gt; Subject: Re: [syslog-ng] TCP recv bug in syslog-ng v2.09?<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Following up on this:<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;  Interestingly, however, is that when I use tcpdump, I DO see each<br>

&gt; &gt; message<br>

&gt; &gt; &gt; &gt; coming in via TCP...so now I&#39;m leaning back towards syslog-ng being the<br>

&gt; &gt; &gt; &gt; problem.<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Here&#39;s what I can see:<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; UDP:<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; #tcpdump -vvv host 14.3.23.50 -i eth0<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size<br>

&gt; &gt; 96<br>

&gt; &gt; &gt; &gt; bytes<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; 09:13:31.465239 IP (tos 0xb8, ttl 251, id 1323, offset 0, flags [none],<br>

&gt; &gt; &gt; &gt; proto UDP (17), length 134)<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;     14.3.23.50.51526 &gt; server.x.com.syslog: SYSLOG, length: 106<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;         Facility local7 (23), Severity notice (5)<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;         Msg: 2975: *Aug 19 12:34:19.465: %SYS-5-CONFIG_I[|syslog]<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; TCP:<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; #tcpdump -vvv host 14.3.23.50 -i eth0<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; 09:46:29.902063 IP (tos 0x0, ttl 251, id 12253, offset 0, flags [none],<br>

&gt; &gt; &gt; &gt; proto TCP (6), length 146)<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;     14.3.23.50.31746 &gt; server.x.com.601: Flags [.], seq 233:339, ack 1,<br>

&gt; &gt; win<br>

&gt; &gt; &gt; &gt; 4128, length 106<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; 09:46:29.902077 IP (tos 0x0, ttl 64, id 27779, offset 0, flags [DF],<br>

&gt; &gt; proto<br>

&gt; &gt; &gt; &gt; TCP (6), length 40)<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;     server.x.com.601 &gt; 14.3.23.50.31746: Flags [.], cksum 0xa3bb<br>

&gt; &gt; (correct),<br>

&gt; &gt; &gt; &gt; seq 1, ack 339, win 5840, length 0<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; So, it looks like the syslog message does end, but why is syslog-ng<br>

&gt; &gt; &gt; &gt; buffering and showing multiple TCP-based messages as a single message?<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Do I have something misconfigured?<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;  ______________________________________________________________<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Clayton Dukes<br>

&gt; &gt; &gt; &gt; ______________________________________________________________<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; On Tue, Aug 17, 2010 at 3:14 PM, Clayton Dukes &lt;<a href="mailto:cdukes@gmail.com">cdukes@gmail.com</a>&gt;<br>

&gt; &gt; wrote:<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;&gt; yikes!<br>

&gt; &gt; &gt; &gt;&gt; seriously?<br>

&gt; &gt; &gt; &gt;&gt; Guess I&#39;ll have to file a bug internally :-)<br>

&gt; &gt; &gt; &gt;&gt; Can someone else positively verify this?<br>

&gt; &gt; &gt; &gt;&gt; Or any suggestions on how I can so that we can recreate it in a lab?<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt; ______________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt; Clayton Dukes<br>

&gt; &gt; &gt; &gt;&gt; ______________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt; On Tue, Aug 17, 2010 at 2:52 PM, &lt;<a href="mailto:syslogng@feystorm.net">syslogng@feystorm.net</a>&gt; wrote:<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; If I recall correctly its because cisco equipment doesnt terminate<br>

&gt; &gt; its<br>

&gt; &gt; &gt; &gt;&gt;&gt; log entries with newlines, so when sending via TCP, syslog-ng thinks<br>

&gt; &gt; the<br>

&gt; &gt; &gt; &gt;&gt;&gt; message is going to be continued in another packet (UDP is assumed to<br>

&gt; &gt; be 1<br>

&gt; &gt; &gt; &gt;&gt;&gt; packet per log entry).<br>

&gt; &gt; &gt; &gt;&gt;&gt; The only way to fix this is an ugly hack to set the timeout so that<br>

&gt; &gt; when<br>

&gt; &gt; &gt; &gt;&gt;&gt; it doesnt get a reply within a certain time, it assumes the log entry<br>

&gt; &gt; ended.<br>

&gt; &gt; &gt; &gt;&gt;&gt; but if several log entries are sent within the timeout, then they&#39;ll<br>

&gt; &gt; all be<br>

&gt; &gt; &gt; &gt;&gt;&gt; mashed together into 1 syslog-ng entry.<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; Sent: Tuesday, August 17, 2010 12:28:28 PM<br>

&gt; &gt; &gt; &gt;&gt;&gt; From: Clayton Dukes &lt;<a href="mailto:cdukes@gmail.com">cdukes@gmail.com</a>&gt; &lt;<a href="mailto:cdukes@gmail.com">cdukes@gmail.com</a>&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; To: Syslog-ng users&#39; and developers&#39; mailing list<br>

&gt; &gt; &gt; &gt;&gt;&gt; &lt;<a href="mailto:syslog-ng@lists.balabit.hu">syslog-ng@lists.balabit.hu</a>&gt; &lt;<a href="mailto:syslog-ng@lists.balabit.hu">syslog-ng@lists.balabit.hu</a>&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; Subject: [syslog-ng] TCP recv bug in syslog-ng v2.09?<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  Hey guys,<br>

&gt; &gt; &gt; &gt;&gt;&gt; Are there any known bugs for syslog-ng v2.09  that won&#39;t allow a<br>

&gt; &gt; cisco<br>

&gt; &gt; &gt; &gt;&gt;&gt; router to send logs over tcp?<br>

&gt; &gt; &gt; &gt;&gt;&gt; I can see a connection established in syslog-ng.<br>

&gt; &gt; &gt; &gt;&gt;&gt; I also see the message come in via tcpdump, but nothing in<br>

&gt; &gt; syslog-ng&#39;s<br>

&gt; &gt; &gt; &gt;&gt;&gt; output.<br>

&gt; &gt; &gt; &gt;&gt;&gt; If I change the router from tcp to udp, messages come in as expected.<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *Router config:*<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  logging source-interface Loopback0<br>

&gt; &gt; &gt; &gt;&gt;&gt; logging 172.18.224.150<br>

&gt; &gt; &gt; &gt;&gt;&gt; logging host 172.18.224.190 transport tcp<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *syslog-ng config:*<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  source s_all {<br>

&gt; &gt; &gt; &gt;&gt;&gt;         udp();<br>

&gt; &gt; &gt; &gt;&gt;&gt;         tcp(ip(11.31.130.99) port(8002) max-connections(300));<br>

&gt; &gt; &gt; &gt;&gt;&gt;         tcp(ip(172.18.224.190) port(601) max-connections(300));<br>

&gt; &gt; &gt; &gt;&gt;&gt; };<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *debug output:*<br>

&gt; &gt; &gt; &gt;&gt;&gt; I commented out the line above for the other interface<br>

&gt; &gt; (11.31.130.99),<br>

&gt; &gt; &gt; &gt;&gt;&gt; restarted and this is all I see:<br>

&gt; &gt; &gt; &gt;&gt;&gt; Syslog connection accepted; from=&#39;AF_INET(14.3.23.50:63845)&#39;,<br>

&gt; &gt; &gt; &gt;&gt;&gt; to=&#39;AF_INET(<a href="http://172.18.224.190:601" target="_blank">172.18.224.190:601</a>)&#39;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *tcpdump:*<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  14:13:46.914566 IP (tos 0x0, ttl 251, id 4303, offset 0, flags<br>

&gt; &gt; [none],<br>

&gt; &gt; &gt; &gt;&gt;&gt; proto TCP (6), length 134)<br>

&gt; &gt; &gt; &gt;&gt;&gt;     14.3.23.50.63845 &gt; xxx.com.601: Flags [.], seq 230:324, ack 1,<br>

&gt; &gt; win<br>

&gt; &gt; &gt; &gt;&gt;&gt; 4128, length 94<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *Router debug:*<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  *Aug 17 17:34:19.772: %SYS-5-CONFIG_I: Configured from console by<br>

&gt; &gt; pnoc<br>

&gt; &gt; &gt; &gt;&gt;&gt; on vty0 (172.18.224.151)<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:20.776: Released port 15205 in Transport Port Agent for<br>

&gt; &gt; &gt; &gt;&gt;&gt; TCP IP type 1 delay 240000<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:20.776: TCB 0x850F9754 destroyed<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCB83648E60 created<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCB83648E60 setting property TCP_PID (8)<br>

&gt; &gt; 845083E4<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCB83648E60 setting property TCP_NO_DELAY (1)<br>

&gt; &gt; &gt; &gt;&gt;&gt; 845083E8<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCB83648E60 setting property TCP keepalive<br>

&gt; &gt; timeout<br>

&gt; &gt; &gt; &gt;&gt;&gt; (17) 845084A0<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCP: Random local port generated 63845, network<br>

&gt; &gt; 1<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCB83648E60 bound to 14.3.23.50.63845<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: Reserved port 63845 in Transport Port Agent for<br>

&gt; &gt; &gt; &gt;&gt;&gt; TCP IP type 1<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCP: sending SYN, seq 3300233565, ack 0<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCP0: Connection to <a href="http://172.18.224.190:601" target="_blank">172.18.224.190:601</a>,<br>

&gt; &gt; &gt; &gt;&gt;&gt; advertising MSS 536<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.775: TCP0: state was CLOSED -&gt; SYNSENT [63845 -&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; 172.18.224.190(601)]<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.779: TCP0: state was SYNSENT -&gt; ESTAB [63845 -&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; 172.18.224.190(601)]<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.779: TCP: tcb 83648E60 connection to<br>

&gt; &gt; <a href="http://172.18.224.190:601" target="_blank">172.18.224.190:601</a>,<br>

&gt; &gt; &gt; &gt;&gt;&gt; peer MSS 1460, MSS is 536<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.779: TCB83648E60 connected to 172.18.224.190.601<br>

&gt; &gt; &gt; &gt;&gt;&gt; *Aug 17 17:34:25.779: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host<br>

&gt; &gt; &gt; &gt;&gt;&gt; 172.18.224.190 port 601 started - reconnection<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;  ______________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; Clayton Dukes<br>

&gt; &gt; &gt; &gt;&gt;&gt; ______________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt; ------------------------------<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; ______________________________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;&gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

&gt; &gt; &gt; &gt;&gt;&gt; Documentation:<br>

&gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

&gt; &gt; &gt; &gt;&gt;&gt; FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; ______________________________________________________________________________<br>

&gt; &gt; &gt; &gt;&gt;&gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

&gt; &gt; &gt; &gt;&gt;&gt; Documentation:<br>

&gt; &gt; &gt; &gt;&gt;&gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

&gt; &gt; &gt; &gt;&gt;&gt; FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;&gt;<br>

&gt; &gt; &gt; &gt;&gt;<br>

&gt; &gt; &gt; &gt;  ------------------------------<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; ______________________________________________________________________________<br>

&gt; &gt; &gt; &gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

&gt; &gt; &gt; &gt; Documentation:<br>

&gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

&gt; &gt; &gt; &gt; FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; ______________________________________________________________________________<br>

&gt; &gt; &gt; &gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

&gt; &gt; &gt; &gt; Documentation:<br>

&gt; &gt; &gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

&gt; &gt; &gt; &gt; FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt;<br>

&gt; &gt; &gt;<br>

&gt; &gt; ______________________________________________________________________________<br>

&gt; &gt; &gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

&gt; &gt; &gt; Documentation:<br>

&gt; &gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

&gt; &gt; &gt; FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

&gt; &gt; &gt;<br>

&gt; &gt;<br>

&gt; &gt;<br>

</div></div></blockquote></div><br></div>