<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style>.EmailQuote {
        BORDER-LEFT: #800000 2px solid; PADDING-LEFT: 4pt; MARGIN-LEFT: 1pt
}
</style><style title="owaParaStyle"><!--P {
        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px
}
--></style>
</head>
<body ocsi="x">
<div dir="ltr"><font color="#000000" size="2" face="Tahoma">Since we are part of a govt project, we aren't allowed to compile code on the RHEL platforms as this will break our STIG/DISA requirements&nbsp;so we can only use RPM builds. (Yea, I know it sucks.).
</font></div>
<div dir="ltr"><font color="#000000" size="2" face="Tahoma"></font>&nbsp;</div>
<div dir="ltr"><font color="#000000" size="2" face="Tahoma">As per the syslog-ng -V, it seems that PCRE is disabled in the RPM build so that option won't be working.</font></div>
<div dir="ltr"><font size="2" face="tahoma"></font>&nbsp;</div>
<div dir="ltr">[root@syslog-svr sbin]# ./syslog-ng -V<br>
syslog-ng 3.0.8<br>
Installer-Version: 3.0.8<br>
Revision: ssh&#43;git://bazsi@git.balabit//var/scm/git/syslog-ng/syslog-ng-ose--mainline--3.0#master#c88009fc97b5014e330ecc8ead747691a05b7e97<br>
Compile-Date: Jul&nbsp; 9 2010 08:32:54<br>
Enable-Threads: on<br>
Enable-Debug: off<br>
Enable-GProf: off<br>
Enable-Memtrace: off<br>
Enable-Sun-STREAMS: off<br>
Enable-Sun-Door: off<br>
Enable-IPv6: on<br>
Enable-Spoof-Source: on<br>
Enable-TCP-Wrapper: off<br>
Enable-SSL: on<br>
Enable-SQL: on<br>
Enable-Linux-Caps: on<br>
Enable-Pcre: off<br>
</div>
<div dir="ltr">&nbsp;</div>
<div dir="ltr"><font size="2" face="tahoma"></font>&nbsp;</div>
<div style="DIRECTION: ltr" id="divRpF83230">
<hr tabindex="-1">
<font color="#000000" size="2" face="Tahoma"><b>From:</b> syslog-ng-bounces@lists.balabit.hu [syslog-ng-bounces@lists.balabit.hu] On Behalf Of Alan McKinnon [Alan.McKinnon@is.co.za]<br>
<b>Sent:</b> Tuesday, September 21, 2010 5:22 PM<br>
<b>To:</b> syslog-ng@lists.balabit.hu<br>
<b>Subject:</b> Re: [syslog-ng] [Bug 93] New: filter() functionality between 2.1 to 3.0 not consistent<br>
</font><br>
</div>
<div></div>
<font size="2">
<div class="PlainText">You seem to have simple logic errors, I do not think regexes are your problem.
<br>
However it will be good to make sure that you configure pcre support when you <br>
built syslog-ng<br>
<br>
Here's the relevant parts of your config.<br>
<br>
filter M_audit&nbsp; { not message(&quot;Audit daemon rotating log files&quot; flags(ignore-<br>
case)); };<br>
filter M_repeat&nbsp; { not message(&quot;last message repeated&quot; flags(ignore-case)); };<br>
filter M_stats&nbsp; { not message(&quot;Log statistics&quot; flags(ignore-case)); };<br>
<br>
log { source(s_general);<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; filter(M_audit);<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; filter(M_repeat);<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; filter(M_stats);<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination(d_general);<br>
};<br>
<br>
<br>
<br>
First, filters are ANDed. So it's a case of a log is sent to d_general only if <br>
M_audit is true AND M_repeat is true AND M_stats is true. It is not OR!<br>
<br>
Secondly, M_repeat is false if the string &quot;last message repeated&quot; IS in the <br>
log. It does not say that M_repeat is true if the string is not in the log. <br>
Those things are very different - some simply boolean algebra will show it.<br>
<br>
Moving onto your log statement, all 3 filters must be true for the message to <br>
be logged to the destination. This evaluates to none of the three strings must <br>
be present. When you run &quot;logger last message repeated&quot;, the message() <br>
evaluates to true, the not makes it false and the log does not match.<br>
<br>
These booleans get tricky as you do not have the entire spectrum of boolean <br>
operations available in the syslog-ng syntax. In combinations, it gets even <br>
worse and quickly becomes unmaintainable. And negative matches are even worse <br>
than that. I find a much better approach is to make individual tests on <br>
messages, discard the ones you are not interested in and then write positive <br>
match rules to log what is left (all of those are then by definition logs you <br>
want to keep). Try this approach instead:<br>
<br>
<br>
filter M_audit&nbsp; { message(&quot;Audit daemon rotating log files&quot; flags(ignore-<br>
case)); };<br>
filter M_repeat&nbsp; { message(&quot;last message repeated&quot; flags(ignore-case)); };<br>
filter M_stats&nbsp; { message(&quot;Log statistics&quot; flags(ignore-case)); };<br>
<br>
log { source(s_general); filter(M_audit); flags(final); };<br>
log { source(s_general); filter(M_repeat); flags(final); };<br>
log { source(s_general); filter(M_stats); flags(final); };<br>
<br>
Add here filter and log statement for messages you wish to keep.<br>
<br>
<br>
On Tuesday 21 September 2010 22:38:59 Worsham, Michael wrote:<br>
&gt; One of my co-workers lent a pair of eyes found something rather unique<br>
&gt; between the two versions I hadn't looked at. Right now, the v3.0.8 build,<br>
&gt; we are using has the following filter configuration modified from the v2.1<br>
&gt; build:<br>
&gt; <br>
&gt; filter M_audit&nbsp;&nbsp; { not message(&quot;Audit daemon rotating log files&quot;); };<br>
&gt; filter M_repeat&nbsp; { not message(&quot;last message repeated&quot;); };<br>
&gt; filter M_stats&nbsp;&nbsp; { not message(&quot;Log statistics&quot;); };<br>
&gt; Now, if I were to login to the syslog-ng client server and do the following<br>
&gt; 'logger last message repeated', the entire message is dropped from<br>
&gt; actually showing up on the remote syslog-ng server (which it should).<br>
&gt; However, if I do 'logger repeated' (a portion cut from the actual full<br>
&gt; message that is to be filtered), then the remote syslog-ng server will<br>
&gt; record it.<br>
&gt; <br>
&gt; The filters, in the way they are configured, are NOT allowing for portions<br>
&gt; of the messages to be detected -- it's either the entire message is<br>
&gt; matched or none of it, not pieces. What do I need to do to allow the<br>
&gt; pieces to be detected and filtered out just like the full message?<br>
&gt; <br>
&gt; -- M<br>
&gt; <br>
&gt; ________________________________<br>
&gt; From: syslog-ng-bounces@lists.balabit.hu<br>
&gt; [syslog-ng-bounces@lists.balabit.hu] On Behalf Of Worsham, Michael Sent:<br>
&gt; Tuesday, September 21, 2010 10:48 AM<br>
&gt; To: Syslog-ng users' and developers' mailing list<br>
&gt; Subject: Re: [syslog-ng] [Bug 93] New: filter() functionality between 2.1<br>
&gt; to 3.0 not consistent<br>
&gt; <br>
&gt; This is what my current configuration looks like now (disabled TLS to allow<br>
&gt; for debugging):<br>
&gt; <br>
&gt; <a href="http://www.murpe.com/syslog-ng-v3.conf2.txt" target="_blank">http://www.murpe.com/syslog-ng-v3.conf2.txt</a><br>
&gt; <br>
&gt; -- M<br>
&gt; <br>
&gt; ________________________________<br>
&gt; From: syslog-ng-bounces@lists.balabit.hu<br>
&gt; [syslog-ng-bounces@lists.balabit.hu] On Behalf Of Alan McKinnon<br>
&gt; [Alan.McKinnon@is.co.za] Sent: Tuesday, September 21, 2010 10:35 AM<br>
&gt; To: syslog-ng@lists.balabit.hu<br>
&gt; Subject: Re: [syslog-ng] [Bug 93] New: filter() functionality between 2.1<br>
&gt; to 3.0 not consistent<br>
&gt; <br>
&gt; I think you are running into the changed definitions of match() between 2.0<br>
&gt; and 3.0<br>
&gt; <br>
&gt; <a href="http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-gui" target="_blank">
http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-gui</a><br>
&gt; de- admin-en.html/reference_filters.html<br>
&gt; <br>
&gt; especially match() and message()<br>
&gt; <br>
&gt; Of your samples, the 3rd and 4th should work. What is the full config that<br>
&gt; applies to how you use this filter? Are you perhaps applying two filters?<br>
&gt; Be careful with that - filters are always ANDed in a log statement, not<br>
&gt; ORed.<br>
&gt; <br>
&gt; On Tuesday 21 September 2010 16:16:57 bugzilla@bugzilla.balabit.com wrote:<br>
&gt; &gt; <a href="https://bugzilla.balabit.com/show_bug.cgi?id=93" target="_blank">https://bugzilla.balabit.com/show_bug.cgi?id=93</a><br>
&gt; &gt; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Summary: filter() functionality between 2.1 to 3.0 not<br>
&gt; &gt; <br>
&gt; &gt; consistent Product: syslog-ng<br>
&gt; &gt; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Version: 3.0.x<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Platform: PC<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; OS/Version: Linux<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Status: NEW<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity: major<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Priority: unspecified<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Component: syslog-ng<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AssignedTo: bazsi@balabit.hu<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ReportedBy: mworsham@scires.com<br>
&gt; &gt; <br>
&gt; &gt; Type of the Report: bug<br>
&gt; &gt; <br>
&gt; &gt;&nbsp;&nbsp;&nbsp; Estimated Hours: 0.0<br>
&gt; &gt; <br>
&gt; &gt; In the older syslong-ng v2.1, this line works perfectly:<br>
&gt; &gt; <br>
&gt; &gt; filter M_audit&nbsp;&nbsp; { not match(&quot;Audit daemon rotating log files&quot;); };<br>
&gt; &gt; <br>
&gt; &gt; Under 3.0.8, none of the following are working (if added one line at a<br>
&gt; &gt; time) and the daemon restarted:<br>
&gt; &gt; <br>
&gt; &gt; filter M_audit&nbsp; { not match(&quot;Audit daemon rotating log files&quot;<br>
&gt; &gt; value(&quot;MSGONLY&quot;) flags(ignore-case)); }; filter M_audit&nbsp; { not<br>
&gt; &gt; match(&quot;MSGONLY&quot; value(&quot;Audit daemon rotating log files&quot;)<br>
&gt; &gt; flags(ignore-case)); }; filter M_audit&nbsp; { not match(&quot;Audit daemon<br>
&gt; &gt; rotating log files&quot; value(MSGONLY) flags(ignore-case)); }; filter<br>
&gt; &gt; M_audit&nbsp; { not match(&quot;Audit daemon rotating log files&quot; value(MSGONLY));<br>
&gt; &gt; }; filter M_audit<br>
&gt; &gt; <br>
&gt; &gt;&nbsp; { not match(&quot;MSGONLY&quot; value(&quot;Audit daemon rotating log files&quot;)); };<br>
&gt; &gt; <br>
&gt; &gt; What I am looking to do is if any incoming data has the following<br>
&gt; &gt; keywords (i.e. &quot;Audit daemon rotating log files&quot;) being detected, it<br>
&gt; &gt; should be filtered (i.e. dropped), and then not show up in the actual<br>
&gt; &gt; message log file.<br>
&gt; &gt; <br>
&gt; &gt; For example, if I go over on the syslog-ng client and do 'logger daemon':<br>
&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; - The older v2.1 syslog-ng server detects the embedded keyword and<br>
&gt; &gt; <br>
&gt; &gt; drops the message. &lt;-- This is correct - On the v3.0.8, the message<br>
&gt; &gt; passes through and found in the data file. &lt;-- This is incorrect<br>
&gt; &gt; <br>
&gt; &gt; Attempted to use the following URLs to correct the formatting, but it<br>
&gt; &gt; still not working: -<br>
&gt; &gt; <a href="http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-g" target="_blank">
http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-g</a><br>
&gt; &gt; u ide-admin-en.html/configuring_filters.html -<br>
&gt; &gt; <a href="http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-g" target="_blank">
http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-g</a><br>
&gt; &gt; u ide-admin-en.html/reference_macros.html<br>
&gt; <br>
&gt; --<br>
&gt; Alan McKinnon<br>
&gt; Systems Engineer^W Technician<br>
&gt; Infrastructure Services<br>
&gt; Internet Solutions<br>
&gt; <br>
&gt; &#43;27 11 575 7585<br>
&gt; <br>
&gt; Please note: This email and its content are subject to the disclaimer as<br>
&gt; displayed at the following link<br>
&gt; <a href="http://www.is.co.za/legal/E-mail&#43;Confidentiality&#43;Notice&#43;and&#43;Disclaimer.htm" target="_blank">
http://www.is.co.za/legal/E-mail&#43;Confidentiality&#43;Notice&#43;and&#43;Disclaimer.htm</a><br>
&gt; . Should you not have Web access, send a mail to disclaimers@is.co.za and a<br>
&gt; copy will be emailed to you.<br>
&gt; __________________________________________________________________________<br>
&gt; ____ Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">
https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
&gt; Documentation:<br>
&gt; <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">
http://www.balabit.com/support/documentation/?product=syslog-ng</a> FAQ:<br>
&gt; <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>
&gt; <br>
&gt; <br>
&gt; ________________________________<br>
&gt; CONFIDENTIALITY NOTICE: This email and any attachments are intended solely<br>
&gt; for the use of the named recipient(s). This email may contain confidential<br>
&gt; and/or proprietary information of Scientific Research Corporation. If you<br>
&gt; are not a named recipient, you are prohibited from reviewing, copying,<br>
&gt; using, disclosing or distributing to others the information in this email<br>
&gt; and attachments. If you believe you have received this email in error,<br>
&gt; please notify the sender immediately and permanently delete the email, any<br>
&gt; attachments, and all copies thereof from any drives or storage media and<br>
&gt; destroy any printouts of the email or attachments.<br>
&gt; <br>
&gt; EXPORT COMPLIANCE NOTICE: This email and any attachments may contain<br>
&gt; technical data subject to U.S export restrictions under the International<br>
&gt; Traffic in Arms Regulations (ITAR) or the Export Administration<br>
&gt; Regulations (EAR). Export or transfer of this technical data and/or<br>
&gt; related information to any foreign person(s) or entity(ies), either within<br>
&gt; the U.S. or outside of the U.S., may require advance export authorization<br>
&gt; by the appropriate U.S. Government agency prior to export or transfer. In<br>
&gt; addition, technical data may not be exported or transferred to certain<br>
&gt; countries or specified designated nationals identified by U.S. embargo<br>
&gt; controls without prior export authorization. By accepting this email and<br>
&gt; any attachments, all recipients confirm that they understand and will<br>
&gt; comply with all applicable ITAR, EAR and embargo compliance requirements.<br>
&gt; <br>
&gt; ________________________________<br>
&gt; CONFIDENTIALITY NOTICE: This email and any attachments are intended solely<br>
&gt; for the use of the named recipient(s). This email may contain confidential<br>
&gt; and/or proprietary information of Scientific Research Corporation. If you<br>
&gt; are not a named recipient, you are prohibited from reviewing, copying,<br>
&gt; using, disclosing or distributing to others the information in this email<br>
&gt; and attachments. If you believe you have received this email in error,<br>
&gt; please notify the sender immediately and permanently delete the email, any<br>
&gt; attachments, and all copies thereof from any drives or storage media and<br>
&gt; destroy any printouts of the email or attachments.<br>
&gt; <br>
&gt; EXPORT COMPLIANCE NOTICE: This email and any attachments may contain<br>
&gt; technical data subject to U.S export restrictions under the International<br>
&gt; Traffic in Arms Regulations (ITAR) or the Export Administration<br>
&gt; Regulations (EAR). Export or transfer of this technical data and/or<br>
&gt; related information to any foreign person(s) or entity(ies), either within<br>
&gt; the U.S. or outside of the U.S., may require advance export authorization<br>
&gt; by the appropriate U.S. Government agency prior to export or transfer. In<br>
&gt; addition, technical data may not be exported or transferred to certain<br>
&gt; countries or specified designated nationals identified by U.S. embargo<br>
&gt; controls without prior export authorization. By accepting this email and<br>
&gt; any attachments, all recipients confirm that they understand and will<br>
&gt; comply with all applicable ITAR, EAR and embargo compliance requirements.<br>
<br>
-- <br>
Alan McKinnon<br>
Systems Engineer^W Technician<br>
Infrastructure Services<br>
Internet Solutions<br>
<br>
&#43;27 11 575 7585<br>
<br>
Please note: This email and its content are subject to the disclaimer as displayed at the following link
<a href="http://www.is.co.za/legal/E-mail&#43;Confidentiality&#43;Notice&#43;and&#43;Disclaimer.htm" target="_blank">
http://www.is.co.za/legal/E-mail&#43;Confidentiality&#43;Notice&#43;and&#43;Disclaimer.htm</a>. Should you not have Web access, send a mail to disclaimers@is.co.za and a copy will be emailed to you.<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">
https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">
http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>
<br>
</div>
</font><br>
<hr>
<font face="Arial" color="Gray" size="1">CONFIDENTIALITY NOTICE: This email and any attachments are intended solely for the use of the named recipient(s). This email may contain confidential and/or proprietary information of Scientific Research Corporation.
 If you are not a named recipient, you are prohibited from reviewing, copying, using, disclosing or distributing to others the information in this email and attachments. If you believe you have received this email in error, please notify the sender immediately
 and permanently delete the email, any attachments, and all copies thereof from any drives or storage media and destroy any printouts of the email or attachments.<br>
<br>
EXPORT COMPLIANCE NOTICE: This email and any attachments may contain technical data subject to U.S export restrictions under the International Traffic in Arms Regulations (ITAR) or the Export Administration Regulations (EAR). Export or transfer of this technical
 data and/or related information to any foreign person(s) or entity(ies), either within the U.S. or outside of the U.S., may require advance export authorization by the appropriate U.S. Government agency prior to export or transfer. In addition, technical data
 may not be exported or transferred to certain countries or specified designated nationals identified by U.S. embargo controls without prior export authorization. By accepting this email and any attachments, all recipients confirm that they understand and will
 comply with all applicable ITAR, EAR and embargo compliance requirements.<br>
</font>
</body>
</html>