<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Arial; font-size: 12pt; color: #000000'>Hi to all.<br><br>We're using syslog-ng 3.2.4 and we're having a weird behaviour in using macros with actions values.<br><br>Here it is a sample pattern-db rule:<br><br>&lt;?xml version='1.0' encoding='UTF-8'?&gt;<br>&lt;patterndb version='4' pub_date='2011-06-20'&gt;<br>&nbsp; &lt;ruleset name='cron' id='cron-ruleset'&gt;<br>&nbsp;&nbsp;&nbsp; &lt;pattern&gt;/usr/sbin/cron&lt;/pattern&gt;<br>&nbsp;&nbsp;&nbsp; &lt;rules&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;rule provider="patterndb" id="cron-1" class="system" context-id="sample-context-id"&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;patterns&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;pattern&gt;(@ESTRING:usracct.username:) @CMD (@ESTRING:details:)@&lt;/pattern&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/patterns&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;actions&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;action trigger="match" condition="match('mymatch' value('details'))"&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;message&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;values&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;value name="MESSAGE"&gt;[${details}] was found in a cron log message. Rule number [${.classifier.rule_id}]&lt;/value&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;value name="TRIGGER"&gt;yes&lt;/value&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/values&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/message&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/action&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/actions&gt;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;/rule&gt;<br>&nbsp;&nbsp;&nbsp; &lt;/rules&gt;<br>&nbsp; &lt;/ruleset&gt;<br>&lt;/patterndb&gt;<br><br>We tested the rule using pdtool match command and the output was:<br><br># pdbtool match&nbsp; -P "/usr/sbin/cron" -M "(root) CMD (mymatch)"<br>MESSAGE=(root) CMD (mymatch)<br>PROGRAM=/usr/sbin/cron<br>.classifier.class=system<br>.classifier.rule_id=cron-1<br>usracct.username=root<br>details=mymatch<br><br>HOST=<br>MESSAGE=[] was found in a cron log message. Rule number []<br>PROGRAM=/usr/sbin/cron<br>PID=<br>TRIGGER=yes<br><br>We instead expected the following output from pdtool match execution:<br><br># pdbtool match&nbsp; -P "/usr/sbin/cron" -M "(root) CMD (mymatch)"<br>
MESSAGE=(root) CMD (mymatch)<br>
PROGRAM=/usr/sbin/cron<br>
.classifier.class=system<br>
.classifier.rule_id=cron-1<br>
usracct.username=root<br>
details=mymatch<br>
<br>
HOST=<br>
MESSAGE=[mymatch] was found in a cron log message. Rule number [cron-1]<br>
PROGRAM=/usr/sbin/cron<br>
PID=<br>
TRIGGER=yes<br>
<br>Macro expansion was not executed in action values but it was in action definition... What are we missing?<br><br>Thank you in advance for your help<br><br>Denis Gasparin<br>---<br>Edistar SRL<br><br></div></body></html>