<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>After considerable effort, I managed to get 3.3.4 built (using gcc 4.4.2, along with glib 2.29.92 and the requisite eventlog 0.2.12).&nbsp; The problem is that the resulting syslog-ng component grows continuously (at an alarming rate).&nbsp; Whereas my 3.0.5 syslog-ng
process starts out running in just under 3MB, and then stabilizes at about 3.3MB, the 3.3.4 version starts out small, and then at the point where I killed it (about 2 hours after starting it), it had already grown to 277MB.</div>
<div>&nbsp;</div>
<div>I&#8217;m doing nothing fancy here (config shown below).&nbsp; No data transformations, no use of time normalization features, no DB components.&nbsp; In short, I&#8217;m not trying to use any of the many new/elaborate features that have been added over the past few years.&nbsp;
I&#8217;m just &#8220;eating log input&#8221;, writing it to handful of files and pipes, just like I&#8217;ve been doing since the syslog-ng 2.x days.</div>
<div>&nbsp;</div>
<div>As one of the regular problems that I see mentioned in various threads is &#8220;some new fix for a memory leak&#8221;, I&#8217;m just trying to see if there&#8217;s some known problem in the virgin 3.3.4 code, that might be causing my problems.&nbsp; (I.E. should I wait for 3.3.5,
and try again?)</div>
<div>&nbsp;</div>
<div>FYI, my environment is Solaris 10 x86.&nbsp; Aside from having moved to the newer gcc compiler (in order to even attempt to compile the latest syslog-ng version), the only other major component change was the newer version of glib, which as I recall, was also
necessary to resolve compilation issues with the new syslog-ng versions.</div>
<div>&nbsp;</div>
<div>Anyway&#8230; before I beat my head against the wall trying to figure out what to do next, I figured that I&#8217;d ask the easy question (about &#8220;known bugs&#8221;) first, so that I don&#8217;t spend any time chasing a problem that may already be fixed.&nbsp; (I did dig thru the mailing
list, and saw at least one mention of a memory leak in 3.3.4, but it seemed to be related to a specific bit of functionality, that I didn&#8217;t think applied in my situation.)</div>
<div>&nbsp;</div>
<div>(And just a side-comment, FWIW, I noticed that when I swapped the 3.3.4 version, for the 3.0.5 version, the host system immediately incurred what I estimate to be at least a 20% high CPU load that had been required by the 3.0.5 version.&nbsp; And when I reverted
back to 3.0.5 a few hours later, I saw that happen in reverse.&nbsp; I&#8217;m not sure why the newest version requires more resources, again, when I&#8217;m not asking it to do anything new, but it definitely seems that it does.)</div>
<div>&nbsp;</div>
<div>Thanks for your time and input.</div>
<div>&nbsp;</div>
<div>Existing config file shown below.&nbsp; Note that other than the version change, the only other modification (from the file that I was using in 3.0.5) relates to the threading changes, which I made based upon Bazsi&#8217;s recommendations in an email on 3/18, about
how to avoid potential data loss on inbound UDP packets.</div>
<div>&nbsp;</div>
<div>Again, thanks for any help/input:</div>
<div>@version:3.3</div>
<div>options { dir_perm(0755); perm(0640); group(wheel); chain_hostnames(no);</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keep_hostname(yes); log_fifo_size(41000); threaded(no);</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dns_cache_size(5000); dns_cache_expire(86400);</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dns_cache_expire_failed(86400); };</div>
<div>&nbsp;</div>
<div>source any_udp { udp(flags(store-legacy-msghdr)); };</div>
<div>source any_tcp { tcp(port(601) max-connections(40)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;store-legacy-msghdr&quot;, &quot;threaded&quot;) use_dns(no)); };</div>
<div>&nbsp;</div>
<div>destination SEC {pipe(&quot;/tmp/sec&quot;); };</div>
<div>destination WIN-PIPE {pipe(&quot;/tmp/windows&quot;); };</div>
<div>destination routers_log {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/routers.log&quot; create_dirs(yes) flags(&quot;threaded&quot;)); };</div>
<div>destination ravlin_log {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/ravlin.log&quot; create_dirs(yes) flags(&quot;threaded&quot;)); };</div>
<div>destination windows_log {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/windows.log&quot; create_dirs(yes) flags(&quot;threaded&quot;)); };</div>
<div>destination workstation_log {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/workstation.log&quot; create_dirs(yes)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;threaded&quot;)); };</div>
<div>destination catch-all_log {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/catch-all.log&quot; create_dirs(yes)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;threaded&quot;)); };</div>
<div>destination test {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; file(&quot;/var/adm/log/test.log&quot; create_dirs(yes) flags(&quot;threaded&quot;)); };</div>
<div>&nbsp;</div>
<div>destination dev_null {};</div>
<div>&nbsp;</div>
<div>destination secdevedc01 { udp(&quot;10.132.193.245&quot; spoof_source(yes)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;threaded&quot;)); };</div>
<div>destination engedc01 { udp(&quot;10.132.192.199&quot; spoof_source(yes)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;threaded&quot;)); };</div>
<div>destination egssiem { udp(&quot;10.10.36.157&quot; spoof_source(yes)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(&quot;threaded&quot;)); };</div>
<div>&nbsp;</div>
<div>log { source(any_udp); destination(SEC); };</div>
<div>log { source(any_udp); destination(egssiem); };</div>
<div>&nbsp;</div>
<div>filter f_4 { facility(syslog) and level(info..emerg); };</div>
<div>log { source(any_udp); filter(f_4); destination(WIN-PIPE); };</div>
<div>log { source(any_udp); filter(f_4); destination(windows_log); flags(final); };</div>
<div>&nbsp;</div>
<div>filter f_1_acl { facility(local5) and level(debug..emerg)</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; and match(&quot;SEC-6-IPACCESSLOG&quot; value(&quot;MESSAGE&quot;)) ; };</div>
<div>filter f_1 { facility(local5) and level(debug..emerg); };</div>
<div>log { source(any_udp); filter(f_1_acl); destination(routers_log);</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(final); };</div>
<div>log { source(any_udp); filter(f_1); destination(engedc01); };</div>
<div>log { source(any_udp); filter(f_1); destination(routers_log); flags(final); };</div>
<div>&nbsp;</div>
<div>filter SonicWallNoise {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; match(&quot;id=firewall&quot; value(&quot;MESSAGE&quot;))</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; and filter(SonicWallMsgs); };</div>
<div>filter SonicWallMsgs {</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; match(&quot;m=97&quot; value(&quot;MESSAGE&quot;)) or match(&quot;m=98&quot; value(&quot;MESSAGE&quot;))</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; or match(&quot;m=537&quot; value(&quot;MESSAGE&quot;)); };</div>
<div>log { source(any_udp); filter(SonicWallNoise); destination(dev_null);</div>
<div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flags(final); };</div>
<div>&nbsp;</div>
<div>filter f_3 { facility(local0) and level(debug..emerg); };</div>
<div>log { source(any_udp); filter(f_3); destination(ravlin_log); flags(final); };</div>
<div>&nbsp;</div>
<div>log { source(any_tcp); destination(workstation_log); flags(final); };</div>
<div>&nbsp;</div>
<div>log { source(any_udp); destination(catch-all_log); flags(final); };</div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div><font face="Arial, sans-serif" size="2">Marvin Nipper</font></div>
<div><font face="Arial, sans-serif" size="2">Director of Security</font></div>
<div><font face="Arial, sans-serif" size="2">Stream Global Services</font></div>
<div><font face="Arial, sans-serif" size="2"><a href="mailto:marvin.nipper@stream.com">mailto:marvin.nipper@stream.com</a></font></div>
<div><font face="Arial, sans-serif" size="2">ph: (303) 670-2705</font></div>
<div><font face="Arial, sans-serif" size="2">PGP Key ID: 0x8EE28551 (DSS/DH)</font></div>
<div><font face="Arial, sans-serif" size="2">8C5D 403A D107 0A95 672B&nbsp; B637 BCF1 919A 8EE2 8551</font></div>
<div>&nbsp;</div>
<div>&nbsp;</div>
</font>
</body>
</html>

<pre>
This e-mail may contain confidential and/or privileged information. If you are
not the intended recipient (or have received this e-mail in error) please 
notify the sender immediately and destroy this e-mail. Any unauthorized 
copying, disclosure or distribution of the material in this e-mail is strictly 
forbidden.