That&#39;s it. It is iptables. The moment I stopped iptables I see the syslog messages written to the file. Now I can work on seggregating them based on host IP the messages are coming from. <br><br>Thanks all for you help with this.<br>

<br><br><br><div class="gmail_quote">On Wed, Nov 17, 2010 at 5:42 PM, Patrick H. <span dir="ltr">&lt;<a href="mailto:syslogng@feystorm.net">syslogng@feystorm.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div bgcolor="#ffffff" text="#0050d0">

<font size="-1"><font face="Helvetica, Arial, sans-serif">do you have

any iptables rules? `iptables -nvL`  `iptables -nvL -t nat` `iptables

-nvL -t mangle`<br>

About the only thing I can think of off the top of my head. There might

be some sysctl option to disable UDP, but I dont know it if it does

exist.<br>

</font></font><br>

Sent: Wed Nov 17 2010 16:39:57 GMT-0700 (Mountain Standard Time)<div><div></div><div class="h5"><br>

From: keshava V <a href="mailto:mv.keshava@gmail.com" target="_blank">&lt;mv.keshava@gmail.com&gt;</a><br>

To: Syslog-ng users&#39; and developers&#39; mailing list

<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">&lt;syslog-ng@lists.balabit.hu&gt;</a> <br>

Subject: Re: [syslog-ng] Syslog-ng not receiving messages

</div></div><blockquote type="cite"><div><div></div><div class="h5">Looks like it is getting blocked somewhere as you thought.

How come tcpdump output is seeing all the udp syslog-ng messages?<br>

  <br>

[root@aspsyslog ~]# /etc/init.d/syslog-ng start<br>

Starting syslog-ng:                                        [  OK  ]<br>

[root@aspsyslog ~]# /etc/init.d/syslog-ng stop<br>

Stopping syslog-ng:                                        [  OK  ]<br>

[root@aspsyslog ~]# nc -u -l 514<br>

  <br>

getting nothing...!<br>

  <br>

  <br>

  <br>

  <div class="gmail_quote">On Wed, Nov 17, 2010 at 5:34 PM, Patrick H. <span dir="ltr">&lt;<a href="mailto:syslogng@feystorm.net" target="_blank">syslogng@feystorm.net</a>&gt;</span>

wrote:<br>

  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

    <div bgcolor="#ffffff" text="#0050d0"><font size="-1"><font face="Helvetica, Arial, sans-serif">Ok, lets see

if the problem is before it gets to syslog-ng or after. Shut syslog-ng

down and do &#39;nc -u -l 514&#39; and see if it gets anything. That&#39;ll dump

out all traffic received. If it gets it, the problem is syslog-ng, if

it doesnt get it the traffic is getting blocked somehow.</font></font><br>

    <br>

Sent: Wed Nov 17 2010 16:30:12 GMT-0700 (Mountain Standard Time)

    <div><br>

From: keshava V <a href="mailto:mv.keshava@gmail.com" target="_blank">&lt;mv.keshava@gmail.com&gt;</a><br>

To: Syslog-ng users&#39; and developers&#39; mailing list

    <a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">&lt;syslog-ng@lists.balabit.hu&gt;</a> <br>

Subject: Re: [syslog-ng] Syslog-ng not receiving messages

    </div>

    <blockquote type="cite">

      <div>syslog-ng is using 514 as expected.<br>

      <br>

[root@aspsyslog ~]# netstat -upnl | grep &quot;:514&quot;<br>

udp        0      0 <a href="http://0.0.0.0:514" target="_blank">0.0.0.0:514</a>                

0.0.0.0:*                               8789/syslog-ng<br>

      <br>

Thanks <br>

      <br>

      <br>

      <div class="gmail_quote">On Wed, Nov 17, 2010 at 5:27 PM, Patrick

H. <span dir="ltr">&lt;<a href="mailto:syslogng@feystorm.net" target="_blank">syslogng@feystorm.net</a>&gt;</span>

wrote:<br>

      <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

        <div bgcolor="#ffffff" text="#0050d0">There isnt something

already

listening on udp 514 is there?<br>

netstat -upnl | grep &quot;:514&quot;<br>

        <br>

Sent: Wed Nov 17 2010 16:23:44 GMT-0700 (Mountain Standard Time)<br>

From: keshava V <a href="mailto:mv.keshava@gmail.com" target="_blank">&lt;mv.keshava@gmail.com&gt;</a><br>

To: Syslog-ng users&#39; and developers&#39; mailing list <a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">&lt;syslog-ng@lists.balabit.hu&gt;</a> <br>

        <div>Subject: Re: [syslog-ng] Syslog-ng not receiving

messages </div>

        <blockquote type="cite">Further,

          <div><br>

I have tried setting the kernel parameters without any luck<br>

          <br>

[root@aspsyslog ~]# sysctl -w net.core.rmem_max=8388608<br>

[root@aspsyslog ~]# sysctl -w net.core.rmem_default=1048576<br>

          <br>

          </div>

        </blockquote>

[SNIP]<br>

        </div>

        <br>

______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

        <br>

        <br>

      </blockquote>

      </div>

      <br>

      </div>

      <pre><hr width="90%" size="4"><div>

______________________________________________________________________________

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a>

FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a>

  </div></pre>

    </blockquote>

    </div>

    <br>

______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

    <br>

    <br>

  </blockquote>

  </div>

  <br>

  </div></div><pre><hr width="90%" size="4"><div class="im">

______________________________________________________________________________

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a>

FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a>

  </div></pre>

</blockquote>

</div>

<br>______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.campin.net/syslog-ng/faq.html" target="_blank">http://www.campin.net/syslog-ng/faq.html</a><br>

<br>

<br></blockquote></div><br>