<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:#0050D0;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML Preformatted Char";
margin:0in;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New","serif";
color:#0050D0;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Balloon Text Char";
margin:0in;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
color:#0050D0;}
span.HTMLPreformattedChar
{mso-style-name:"HTML Preformatted Char";
mso-style-priority:99;
mso-style-link:"HTML Preformatted";
font-family:Consolas;
color:#0050D0;}
span.EmailStyle19
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.BalloonTextChar
{mso-style-name:"Balloon Text Char";
mso-style-priority:99;
mso-style-link:"Balloon Text";
font-family:"Tahoma","sans-serif";
color:#0050D0;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Excellent…thanks so much Patrick. This is working nicely. At some point in time I may want to add in the firewalls “Deny” statement, but for now this will work. Thanks again.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>James<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Patrick H. [mailto:syslogng@feystorm.net] <br><b>Sent:</b> Tuesday, November 08, 2011 11:57 AM<br><b>To:</b> Lay, James<br><b>Cc:</b> Syslog-ng users' and developers' mailing list<br><b>Subject:</b> [Spam] Re: [syslog-ng] Quick filter question<br><b>Importance:</b> Low<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>That might work, but what the order of operations is on boolean operations (and/or) is, is unclear. In situations like that its always best to explicitly force the order yourself.<br><br>filter f_firewall {<br> not (<br> program ("firewall" flags(ignore-case))<br> and (<br> message("192\.168\.")<br> or message("169\.254\.")<br> )<br> );<br>};<br><br><br><br>Sent: Tue Nov 08 2011 11:46:35 GMT-0700 (MST)<br>From: Lay, James <a href="mailto:james.lay@wincofoods.com"><james.lay@wincofoods.com></a><br>To: Patrick H. <a href="mailto:syslogng@feystorm.net"><syslogng@feystorm.net></a>, Syslog-ng users' and developers' mailing list <a href="mailto:syslog-ng@lists.balabit.hu"><syslog-ng@lists.balabit.hu></a> <br>Subject: Re: [syslog-ng] Quick filter question <o:p></o:p></p><pre>Ah...so I need or then yes?<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>filter f_firewall {<o:p></o:p></pre><pre> not (<o:p></o:p></pre><pre> program ("firewall" flags(ignore-case))<o:p></o:p></pre><pre> and message("192\.168\.")<o:p></o:p></pre><pre> or message("169\.254\.")<o:p></o:p></pre><pre> );<o:p></o:p></pre><pre>};<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>How's that look?<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>James<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>P.S. And thank you :)<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>James<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>From: Patrick H. [<a href="mailto:syslogng@feystorm.net">mailto:syslogng@feystorm.net</a>] <o:p></o:p></pre><pre>Sent: Tuesday, November 08, 2011 11:40 AM<o:p></o:p></pre><pre>To: Syslog-ng users' and developers' mailing list<o:p></o:p></pre><pre>Cc: Lay, James<o:p></o:p></pre><pre>Subject: Re: [syslog-ng] Quick filter question<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I'm not sure if semicolons are valid in filter rules, but technically valid or not, they shouldnt be there so try removing them.<o:p></o:p></pre><pre>The filter should look like<o:p></o:p></pre><pre>filter f_firewall {<o:p></o:p></pre><pre> not (<o:p></o:p></pre><pre> program ("firewall" flags(ignore-case))<o:p></o:p></pre><pre> and message("192\.168\.")<o:p></o:p></pre><pre> and message("169\.254\.")<o:p></o:p></pre><pre> );<o:p></o:p></pre><pre>};<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Note though, that filter will only trigger if both 192.168. and 169.254. are in the same log entry. Unless that IP address you masked out with "x"s is 169.254 it wont trigger.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Sent: Tue Nov 08 2011 11:21:11 GMT-0700 (MST)<o:p></o:p></pre><pre>From: Lay, James <a href="mailto:james.lay@wincofoods.com"><james.lay@wincofoods.com></a><o:p></o:p></pre><pre>To: Syslog-ng users' and developers' mailing list <a href="mailto:syslog-ng@lists.balabit.hu"><syslog-ng@lists.balabit.hu></a> <o:p></o:p></pre><pre>Subject: Re: [syslog-ng] Quick filter question <o:p></o:p></pre><pre>Hey again all.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>So...I'm still having issue with this..not sure why. Here's the raw log:<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Nov 8 11:13:38 x.x.x.x firewall: Deny tcp 20 125 x.x.x.x 192.168.0.15 9517 17777 offset 7 S 3371425811 win 64 <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>And from my syslog-ng.conf<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>filter f_firewall {<o:p></o:p></pre><pre> not (<o:p></o:p></pre><pre> program ("firewall" flags(ignore-case));<o:p></o:p></pre><pre> and message("192\.168\.");<o:p></o:p></pre><pre> and message("169\.254\.");<o:p></o:p></pre><pre> )<o:p></o:p></pre><pre>};<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>log {<o:p></o:p></pre><pre> source(s_local);<o:p></o:p></pre><pre> filter(f_dumb);<o:p></o:p></pre><pre> filter(f_firewall);<o:p></o:p></pre><pre> destination(d_file);<o:p></o:p></pre><pre> destination(other);<o:p></o:p></pre><pre>};<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Any hints as to why these aren't matching? Should I not be \ing the periods? Thanks all.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>James<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>From: <a href="mailto:syslog-ng-bounces@lists.balabit.hu">syslog-ng-bounces@lists.balabit.hu</a> [<a href="mailto:syslog-ng-bounces@lists.balabit.hu">mailto:syslog-ng-bounces@lists.balabit.hu</a>] On Behalf Of Frank Collette<o:p></o:p></pre><pre>Sent: Tuesday, November 08, 2011 8:36 AM<o:p></o:p></pre><pre>To: Syslog-ng users' and developers' mailing list<o:p></o:p></pre><pre>Subject: Re: [syslog-ng] Quick filter question<o:p></o:p></pre><pre> <o:p></o:p></pre><pre><o:p> </o:p></pre><pre>filter f_firewall { <o:p></o:p></pre><pre> not ( <o:p></o:p></pre><pre> program("firewall" flags(ignore-case)) and <o:p></o:p></pre><pre> message("169\.254\.[0-9]+\.[0-9]+" value("MESSAGE")); <o:p></o:p></pre><pre> ) <o:p></o:p></pre><pre>}; <o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Thanks, <o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Frank E. Collette IV <o:p></o:p></pre><pre>Technical Services<o:p></o:p></pre><pre>Systems Administrator II<o:p></o:p></pre><pre>Trustmark National Bank<o:p></o:p></pre><pre>Office: 601-208-7517 <o:p></o:p></pre><pre>Fax: 601-208-6105 <o:p></o:p></pre><pre><a href="mailto:fcollette@trustmark.com">fcollette@trustmark.com</a> <o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>From: "Lay, James" <a href="mailto:james.lay@wincofoods.com"><james.lay@wincofoods.com></a> <o:p></o:p></pre><pre>To: <a href="mailto:syslog-ng@lists.balabit.hu"><syslog-ng@lists.balabit.hu></a> <o:p></o:p></pre><pre>Date: 11/08/2011 09:14 AM <o:p></o:p></pre><pre>Subject: [syslog-ng] Quick filter question <o:p></o:p></pre><pre>Sent by: <a href="mailto:syslog-ng-bounces@lists.balabit.hu">syslog-ng-bounces@lists.balabit.hu</a> <o:p></o:p></pre><pre>________________________________________<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Hey all! <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Real quick...trying to filter OUT firewall hits that have say...169.254. Will this do the trick? <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>filter f_firewall { <o:p></o:p></pre><pre> not program (firewall flags(ignore-case)); <o:p></o:p></pre><pre> and not message("169\.254\.[0-9]+\.[0-9]+"); <o:p></o:p></pre><pre>}; <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Thanks all. <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>James______________________________________________________________________________<o:p></o:p></pre><pre>Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><o:p></o:p></pre><pre>Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a><o:p></o:p></pre><pre>FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>______________________________________________________________________________<o:p></o:p></pre><pre>Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><o:p></o:p></pre><pre>Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a><o:p></o:p></pre><pre>FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a><o:p></o:p></pre><pre><o:p> </o:p></pre></div></div></body></html>