<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html><head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

    <meta name="generator" content="Osso Notes">

    <title></title></head>

<body>

<p>----- Original message -----

<br>&gt; Hello there,

<br>&gt; My syslog-ng is logging fine from 700 servers but a few times per day it

<br>&gt; is logging into a wrong folder which is created by the $HOST variable.

<br>&gt; Normally syslog should use a hostname like host-1.worker.foobar.com but

<br>&gt; a few times a day it creates a folder names like:

<br>&gt; 

<br>&gt; 4.22

<br>&gt; p6-allrouter?

<br>&gt; p6-localnet

<br>&gt; p6-mc?

<br>&gt; p6-mcastpref

<br>&gt; p6-mcastpref?

<br>&gt; host-1.worker.foobar.xcom

<br>&gt; and other weird names...

<br>&gt; 

<br>&gt; It only logs one or two lines and then uses the right folder again. Does

<br>&gt; anyone have a clue where I have to look for the problem?

<br>&gt; 

<br>&gt; Here are the option line from the server and the client:

<br>&gt; 

<br>&gt; Client:

<br>&gt; @version: 3.3

<br>&gt; options {

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;threaded(yes);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;use_dns(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;use_fqdn(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache_size(16384);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache_expire(3600);

<br>&gt;&nbsp; &nbsp; &nbsp; &#32;dns_cache_expire_failed(10);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;log_msg_size(256000);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;log_fifo_size(100000);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;normalize_hostnames(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;check_hostname(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;bad_hostname("^gconfd$");

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;create_dirs(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;owner("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;group("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;perm(0640);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;time_reopen(30);

<br>&gt; };

<br>&gt; 

<br>&gt; Server:

<br>&gt; 

<br>&gt; options {

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;threaded(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;owner("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;group("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;perm(0660);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dir_owner("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dir_group("root");

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dir_perm(0770);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;create_dirs(yes);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;chain_hostnames(no);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;normalize_hostnames(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;check_hostname(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;keep_hostname(no);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;use_fqdn(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache(yes);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache_size(16384);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache_expire(3600);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;dns_cache_expire_failed(60);

<br>&gt; 

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;log_msg_size(256000);

<br>&gt;&nbsp; &nbsp; &nbsp; &nbsp; &#32;log_fifo_size(1000000);

<br>&gt; };

<br>&gt; 

<br>&gt; Destination example:

<br>&gt; destination d_syslog {

<br>&gt; file("/log/syslog/${R_YEAR}/${R_MONTH}/${R_DAY}/$HOST/$PROGRAM"); };

<br>

<br>keep-hostname() is false in your case, which means it resolves hostnames from dns and /etc/hosts

<br>

<br>Isn't it possible that you get ipv6 traffic from special addresses, and those are resolved onto the names it uses?

<br>

<br>can you run tcpdump on the server to confirm? do you have ipv6 source configured?</p>

</body>

</html>