<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi Anji,<br>
    <br>
    at first glance it seems as if you are using a template in your
    destination (because of the small m in mar) and are missing the "\n"
    from the end of the template. Are you sure that you have pasted the
    right config snippet?<br>
    <br>
    Balint<br>
    <br>
    On 03/07/2012 05:38 AM, anji prassana wrote:
    <blockquote
cite="mid:CAAsfMgtAm5WO2_D1CQh=KaH80ZuvtDO045qX0FYvD16ypa=ccQ@mail.gmail.com"
      type="cite">I am using syslog-ng <b><span
style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;color:black">version
        </span></b><span
style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;color:black"><br>
      </span><span
style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;color:blue">[root@Cypher-210
        ~]#
        /usr/local/sbin/syslog-ng -V<br>
        syslog-ng 3.3.3<br>
        Installer-Version: 3.3.3</span><span
style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;color:black"><br>
        Revision:
<a class="moz-txt-link-abbreviated" href="mailto:ssh+git://bazsi@git.balabit//var/scm/git/syslog-ng/syslog-ng-ose--mainline--3.3#master#d199a1980be6b23fe24189e86a882812288e292c">ssh+git://bazsi@git.balabit//var/scm/git/syslog-ng/syslog-ng-ose--mainline--3.3#master#d199a1980be6b23fe24189e86a882812288e292c</a><br>
        Compile-Date: Mar&nbsp; 6 2012 13:06:17<br>
        Default-Modules:
affile,afprog,afsocket,afuser,basicfuncs,csvparser,parser,syslogformat<br>
        Available-Modules:
afprog,convertfuncs,affile,afsocket-tls,confgen,csvparser,syslogformat,dbparser,basicfuncs,afmongodb,dummy,afuser,afsocket<br>
        Enable-Debug: off<br>
        Enable-GProf: off<br>
        Enable-Memtrace: off<br>
        Enable-IPv6: on<br>
        Enable-Spoof-Source: off<br>
        Enable-TCP-Wrapper: on<br>
        Enable-Linux-Caps: on<br>
        Enable-Pcre: on<br style="">
        <br style="">
      </span><br>
      Problem:<br>
      ------------<br>
      Syslog-ng is forwarding the TCP packets to a Remote TCP port with
      More than one message in a single TCP Packet.But, in between the
      messages inside a packet, It doesn't includes any delimiter like
      "\n" or some other.But, the receiving Program listens on TCP
      requires a newline as a delimiter b/w messages so as to parse the
      messages individually. But, As Syslog-ng doesn't includes a
      separator b/w messages in a packet, The Receiver simply
      considering whole messages in a packet as a single Message which
      leads to false and unacceptable parsing.<br>
      <br>
      Please look into the following messages exists in a single TCP
      packet.The one I colored red is a start of new message.<br>
      <br>
      root : tty=unknown ; pwd=/ ; user=root ; command=/bin/grep
      ^shutdown: /etc/shadow <b><span style="color:rgb(255,0,0)">&lt;13&gt;</span></b>mar&nbsp;
      6 17:22:15 cypher-210 sudo:&nbsp;&nbsp;&nbsp;&nbsp; root : tty=unknown ; pwd=/ ;
      user=root ; command=/usr/bin/head -n 4 /etc/inittab <b><span
          style="color:rgb(255,0,0)">&lt;13&gt;</span></b>mar&nbsp; 6
      17:22:15 cypher-210 sudo:&nbsp;&nbsp;&nbsp;&nbsp; root : tty=unknown ; pwd=/ ;
      user=root ; command=/usr/bin/tail -n 1 <b
        style="color:rgb(255,0,0)">&lt;13&gt;</b>mar&nbsp; 6 17:22:15
      cypher-210 sshd[5583]: pam_unix(sshd:session): session opened for
      user root by (uid=0) <b><span style="color:rgb(255,0,0)">&lt;13&gt;</span></b>mar&nbsp;
      6 17:22:15 cypher-210 sshd[5765]: accepted password for root from
      10.0.15.218 port 44258 ssh2 &lt;13&gt;mar&nbsp; 6 17:22:15 cypher-210
      sshd[5765]: pam_unix(sshd:session): session opened for user root
      by (uid=0) <b style="color:rgb(255,0,0)">&lt;13&gt;</b>mar&nbsp; 6
      17:22:16 cypher-210 sshd[5278]: pam_unix(sshd:session): session
      closed for user root <b style="color:rgb(255,0,0)">&lt;13&gt;</b>mar&nbsp;
      6 17:22:17 cypher-210 pam_timestamp_check: pam `/' permissions are
      lax &lt;13&gt;mar&nbsp; 6 17:22:17 cypher-210 sshd[5281]:
      pam_unix(sshd:session): session closed for user root <b
        style="color:rgb(255,0,0)">&lt;13&gt;</b>mar&nbsp; 6 17:22:17
      cypher-210 sudo:&nbsp;&nbsp;&nbsp;&nbsp; root : tty=unknown ; pwd=/ ; user=root ;
      command=/bin/grep ^shutdown: /etc/shad<br>
      <br>
      These are the settings i made in the syslog-ng.conf file:<br>
      <br>
      source s_test {<br>
      &nbsp; internal();<br>
      &nbsp; unix-stream("/dev/log");<br>
      &nbsp; udp();<br>
      &nbsp; file("/var/log/syslog-ng_local");<br>
      };<br>
      <br>
      destination d_test {<br>
      &nbsp; tcp("10.0.15.18" port(9500)); #My Program listening on tcp port
      9500 requires newline as a separator for each message.<br>
      };<br>
      log {<br>
      &nbsp; source(s_test); destination(d_test);<br>
      };<br>
      <br>
      Can anyone kindly help me, <br>
      1. How can i limit one tcp packet to hold only one message?<br>
      &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [or]<br>
      2. How can I add newline as a delimiter b/w each message before
      the packet(s) are forwarding to a destination so that it could
      parse properly?<br>
      <br>
      Your Help is really appreciate..<br>
      <br>
      Thanks&amp;Regards<br>
      Anjaneyulu P<br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">______________________________________________________________________________
Member info: <a class="moz-txt-link-freetext" href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a>
Documentation: <a class="moz-txt-link-freetext" href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a>
FAQ: <a class="moz-txt-link-freetext" href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a>

</pre>
    </blockquote>
  </body>
</html>