<div dir="ltr">The issue is that your test message is actually the raw message as seen in a log file containing the timestamp, host, and program as well as the message. &nbsp;In the syslog-ng.conf, that would correspond to $S_TIMESTAMP, $HOST, $PROGRAM, and $MSG_ONLY. &nbsp;Your pattern isn&#39;t actually extracting any fields not already extracted by syslog-ng without the patterndb. &nbsp;Are you collecting this file using the file() driver or are you reading from the network? &nbsp;If this is a raw file you are reading, then there is no program, and so you just need to remove the first &lt;pattern&gt; element entirely to say to match on all programs, or use the program_override() flag to set a program explicitly and make sure it matches the program in the &lt;pattern&gt; element.</div>

<div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 29, 2013 at 4:35 AM, ²»»µ°¢·å <span dir="ltr">&lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Dear &nbsp;Marton, &nbsp;Martin<div><br></div><div>i saw your post in mail list. &nbsp;could you give me some advice to solve my problem. why i can not get db-parse macro value from syslog-ng &nbsp;while pdbtool match work successfully.</div>


<div><br></div><div>thanks.</div><div><br></div><div>my thread is here&nbsp;</div><div><br></div><div><a href="https://lists.balabit.hu/pipermail/syslog-ng/2013-April/020300.html" target="_blank">https://lists.balabit.hu/pipermail/syslog-ng/2013-April/020300.html</a><br>


</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">2013/4/29 ²»»µ°¢·å <span dir="ltr">&lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt;</span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">i have try put&nbsp;<font face="Tahoma"><span style="white-space:pre-wrap">&lt;pattern&gt;vmkernel&lt;/pattern&gt;    </span></font><font face="Tahoma"><span style="white-space:pre-wrap">&lt;pattern&gt;hostd-probe&lt;/pattern&gt; </span></font><font face="Tahoma"><span style="white-space:pre-wrap">do test,  not work.</span></font></div>


<div><div>
<div class="gmail_extra"><br><br><div class="gmail_quote">2013/4/29 Evan Rempel <span dir="ltr">&lt;<a href="mailto:erempel@uvic.ca" target="_blank">erempel@uvic.ca</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">







<div>
<pre style="font-size:10.0pt;font-family:Tahoma;word-wrap:break-word">That looks more like what I would expect.
In your example source line your $PROGRAM will be vmkernel and should be the text in the &lt;pattern&gt;&lt;/pattern&gt; xml tag.

Aslo, your pattern needs to start at the text following the vmkernel: part of the syslog line. Only the $MESSAGE part of the syslog line is sent to the patterndb for parsing, unless your source definition in the syslog-ng.conf file has the flags(no-parse) option, but that would be unusual.

Evan


Evan Rempel   <a href="tel:250.271.7691" value="+12502717691" target="_blank">250.271.7691</a>
University Systems, University of Victoria

²»»µ°¢·å &lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt; wrote:

</pre><div><div>
<div>
<div dir="ltr">sorry for miss the purpose what i want to do. &nbsp;
<div>(1) first . receive syslog from esxi host from UDP . (done)</div>
<div>(2) second. &nbsp;parse the log from UDP and parse with pattern db and get separate imformation ( meet the problem i ask for help)</div>
<div>(3)third. &nbsp;store separate infor to Oracle table(done, test successfully on syslog-ng macro value)</div>
<div><br>
</div>
<div>for the second step, i use the way &nbsp;file() to check the situation of db-parse.</div>
<div><br>
</div>
<div>some sample log message from esxi host.<br>
<div>
<div><br>
</div>
<div>
<div>Apr 29 00:08:50 192.168.88.81 vmkernel: cpu6:10283)NMP: mp_ThrottleLogForDevice:2319: Cmd 0x1a (0x412400404280, 0)&nbsp;</div>
<div>Apr 29 00:10:02 192.168.88.81 hostd-probe: [FF9E8CB0 warning &#39;Default&#39;] Unrecognized&nbsp;</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
</div>
</div>
</div>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/4/29 ²»»µ°¢·å <span dir="ltr">&lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">attachment is my current syslog-ng.conf. &nbsp; and &nbsp;esxi_pattern.xml.
<div><br>
</div>
<div>my syslog-ng receive UDP log from esxi host and try to test the db-parse and log it.</div>
<div><br>
</div>
<div>i have change to&nbsp;<span style="font-family:arial,sans-serif;font-size:14px">&lt;pattern&gt;system&lt;/pattern&gt;, but still can not get value from parse refer macro.</span></div>
<div><span style="font-family:arial,sans-serif;font-size:14px"><br>
</span></div>
<div><font face="arial, sans-serif"><span style="font-size:14px">thanks.</span></font></div>
</div>
<div>
<div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/4/28 Evan Rempel <span dir="ltr">&lt;<a href="mailto:erempel@uvic.ca" target="_blank">erempel@uvic.ca</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sorry for not being more clear in my first response.<br>
<br>
You have a template of<br>
<br>
template(&quot;=== $PROGRAM,${.esxi_month} ${.esxi.date} ${.esxi.time} HOSTIP ${.esxi.host_ip},${.esxi.message}\n&quot;)<br>
<br>
When syslog-ng receives a syslog message, it logged it as;<br>
<div><br>
=== system,error,critical, &nbsp; HOST IP ,<br>
<br>
</div>
This means that $PROGRAM contains &quot;system&quot;<br>
<br>
Now for the patterndb part.<br>
<br>
The patterndb parser FIRST matches $PROGRAM To the &lt;pattern&gt;XXXX&lt;/pattern&gt; in the &lt;ruleset&gt;<br>
<div><br>
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&gt;<br>
&lt;patterndb version=&#39;3&#39; pub_date=&#39;2009-04-17&#39;&gt;<br>
&nbsp; &nbsp; &lt;ruleset name=&#39;esxi&#39; id=&#39;123456678&#39;&gt;<br>
</div>
&nbsp; &nbsp; &nbsp; &nbsp; &lt;pattern&gt;XXXX&lt;/pattern&gt;<br>
<br>
In your case you have specified &lt;pattern&gt;ESXI&lt;/pattern&gt; so the patterndb parser will NOT use any<br>
of your patterndb because it does not match the $PROGRAM<br>
<br>
You need to use<br>
<div><br>
######## &nbsp; esxi_pattern.xml ############<br>
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&gt;<br>
&lt;patterndb version=&#39;3&#39; pub_date=&#39;2009-04-17&#39;&gt;<br>
&lt;ruleset name=&#39;esxi&#39; id=&#39;123456678&#39;&gt;<br>
</div>
&lt;pattern&gt;system&lt;/pattern&gt;<br>
<div>&lt;rules&gt;<br>
&lt;rule provider=&#39;Fone Bro&#39; id=&#39;182437592347598&#39; class=&#39;esxi&#39;&gt;<br>
&lt;patterns&gt;<br>
&lt;pattern&gt;@STRING:.esxi.month:@ @STRING:.esxi.date:@<br>
@STRING:.esxi.time::@@IPv4:.esxi.host_ip:@<br>
@ESTRING:.esxi.program::@ @ANYSTRING:.esxi.message@&lt;/pattern&gt;<br>
&lt;/patterns&gt;<br>
&lt;/rule&gt;<br>
&lt;/rules&gt;<br>
&lt;/ruleset&gt;<br>
&lt;/patterndb&gt;<br>
<br>
<br>
<br>
</div>
You have not included a complete syslong-ng source line for me to see what you are trying to match against so I can<br>
not tell if you pattern will actually match the lines that you are trying to match.<br>
At my organization we run ESX as well, and none of our lines would match the pattern that you have, but<br>
your environment might be different.<br>
<br>
I hope this was more clear.<br>
<br>
Evan.<br>
<br>
<br>
<br>
<br>
________________________________________<br>
From: ²»»µ°¢·å [<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>]<br>
Sent: Sunday, April 28, 2013 8:24 AM<br>
To: <a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>; Evan Rempel<br>
Subject: Re:Can not get DBParse match macro result (syslog-ng 3.13 debian squeeze)<br>
<div><br>
thanks to your reply. &nbsp;i do not understand how to do now. it puzzle and trouble me some days. &nbsp; i read the balabit syslog-ng OSE guide documents and only have simple information in there.<br>
<br>
how to do on this<br>
-----&gt;&gt;&gt;&gt;<br>
If you change the patterndb ruleset pattern to use a program of system rather than ESXI I think it would work.<br>
<br>
<br>
</div>
2013/4/28 &lt;<a href="mailto:syslog-ng-request@lists.balabit.hu" target="_blank">syslog-ng-request@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng-request@lists.balabit.hu" target="_blank">syslog-ng-request@lists.balabit.hu</a>&gt;&gt;<br>




<div>Send syslog-ng mailing list submissions to<br>
</div>
&nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&gt;<br>
<div><br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
&nbsp; &nbsp; &nbsp; &nbsp; <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">
https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
or, via email, send a message with subject or body &#39;help&#39; to<br>
</div>
&nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:syslog-ng-request@lists.balabit.hu" target="_blank">syslog-ng-request@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng-request@lists.balabit.hu" target="_blank">syslog-ng-request@lists.balabit.hu</a>&gt;<br>




<div><br>
You can reach the person managing the list at<br>
</div>
&nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:syslog-ng-owner@lists.balabit.hu" target="_blank">syslog-ng-owner@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng-owner@lists.balabit.hu" target="_blank">syslog-ng-owner@lists.balabit.hu</a>&gt;<br>




<div><br>
When replying, please edit your Subject line so it is more specific<br>
than &quot;Re: Contents of syslog-ng digest...&quot;<br>
<br>
<br>
Today&#39;s Topics:<br>
<br>
&nbsp; &nbsp;1. &nbsp;Can not get DBParse match macro result (syslog-ng 3.13<br>
&nbsp; &nbsp; &nbsp; debian squeeze) (????)<br>
&nbsp; &nbsp;2. Re: &nbsp;Can not get DBParse match macro result (syslog-ng 3.13<br>
&nbsp; &nbsp; &nbsp; debian squeeze) (Evan Rempel)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Sat, 27 Apr 2013 22:34:50 +0800<br>
</div>
From: ???? &lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&lt;mailto:<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt;&gt;<br>
<div>Subject: [syslog-ng] Can not get DBParse match macro result (syslog-ng<br>
&nbsp; &nbsp; &nbsp; &nbsp; 3.13 &nbsp; &nbsp;debian squeeze)<br>
</div>
To: <a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&gt;<br>
Message-ID:<br>
&nbsp; &nbsp; &nbsp; &nbsp; &lt;CA+SSH2oBB2-WWvQksbchVVoyhfZbdVvDR=<a href="mailto:V7wJ1EJdvE6Zx9zg@mail.gmail.com" target="_blank">V7wJ1EJdvE6Zx9zg@mail.gmail.com</a>&lt;mailto:<a href="mailto:V7wJ1EJdvE6Zx9zg@mail.gmail.com" target="_blank">V7wJ1EJdvE6Zx9zg@mail.gmail.com</a>&gt;&gt;<br>




<div>
<div>Content-Type: text/plain; charset=&quot;iso-8859-1&quot;<br>
<br>
when use pdbtool do match test, it is success. but from syslog-ng can not<br>
return result of macro<br>
i can not get macro result. &nbsp;for example, &nbsp; ${.esxi.month} &nbsp;no value, same<br>
as ${.esxi.host_ip} ${.esxi.time}<br>
<br>
test log output ,just like this.<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
<br>
<br>
do the pdbtool test, it&#39;s ok. &nbsp;wish someone can give me some solution and<br>
help. i have search some mail list but i can not get the right solution.<br>
&nbsp;thanks a lot.<br>
<br>
root@debian:~# pdbtool match -D -c -p<br>
/etc/syslog-ng/patterndb/esxi_pattern.xml -P ESXI -M &quot;Apr 26 15:17:31<br>
192.168.88.71 vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd<br>
0x1a (0x4124444a6280, 0) to dev &quot;mpx.vmhba0:C0:T0:L0&quot; on path<br>
&quot;vmhba0:C0:T0:L0&quot; Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0.<br>
Act:NONE&quot;<br>
Pattern matching part:<br>
@STRING:.esxi.month=Apr@ @STRING:.esxi.date=26@<br>
@STRING:.esxi.time=15:17:31@@IPv4:.esxi.host_ip=192.168.88.71@@ESTRING:.esxi.program=<br>
vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a<br>
(0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0<br>
Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0.<br>
Act:NONE@@ANYSTRING:.esxi.message=cpu11:8203)NMP:<br>
nmp_ThrottleLogForDevice:2319: Cmd<br>
0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0<br>
Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE@<br>
Matching part:<br>
Apr 26 15:17:31 192.168.88.71 vmkernel: cpu11:8203)NMP:<br>
nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev<br>
mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid<br>
sense data: 0x5 0x20 0x0. Act:NONE<br>
Values:<br>
MESSAGE=Apr 26 15:17:31 192.168.88.71 vmkernel: cpu11:8203)NMP:<br>
nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev<br>
mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid<br>
sense data: 0x5 0x20 0x0. Act:NONE<br>
PROGRAM=ESXI<br>
.classifier.class=esxi<br>
.classifier.rule_id=182437592347598<br>
.esxi.month=Apr<br>
.esxi.date=26<br>
.esxi.time=15:17:31<br>
.esxi.host_ip=192.168.88.71<br>
.esxi.program= vmkernel<br>
.esxi.message=cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a<br>
(0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0<br>
Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE<br>
root@debian:~#<br>
<br>
<br>
my configuration like as below<br>
<br>
######## &nbsp; esxi_pattern.xml ############<br>
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&gt;<br>
&lt;patterndb version=&#39;3&#39; pub_date=&#39;2009-04-17&#39;&gt;<br>
&lt;ruleset name=&#39;esxi&#39; id=&#39;123456678&#39;&gt;<br>
&lt;pattern&gt;ESXI&lt;/pattern&gt;<br>
&lt;rules&gt;<br>
&lt;rule provider=&#39;Fone Bro&#39; id=&#39;182437592347598&#39; class=&#39;esxi&#39;&gt;<br>
&lt;patterns&gt;<br>
&lt;pattern&gt;@STRING:.esxi.month:@ @STRING:.esxi.date:@<br>
@STRING:.esxi.time::@@IPv4:.esxi.host_ip:@<br>
@ESTRING:.esxi.program::@ @ANYSTRING:.esxi.message@&lt;/pattern&gt;<br>
&lt;/patterns&gt;<br>
&lt;/rule&gt;<br>
&lt;/rules&gt;<br>
&lt;/ruleset&gt;<br>
&lt;/patterndb&gt;<br>
<br>
######## syslog-ng.conf &nbsp; &nbsp; &nbsp;########<br>
<br>
#####Parser#####<br>
parser pattern_db {<br>
&nbsp; &nbsp; &nbsp; &nbsp; db_parser( file(&quot;/etc/syslog-ng/patterndb/esxi_pattern.xml&quot;));<br>
};<br>
<br>
#Check pattern matching<br>
destination udp_esxi_output {<br>
&nbsp; &nbsp;file(&quot;/var/log/pattern_output&quot;<br>
&nbsp; &nbsp;template(&quot;=== $PROGRAM,${.esxi_month} ${.esxi.date} ${.esxi.time} HOST<br>
IP ${.esxi.host_ip},${.esxi.message}\n&quot;)<br>
template_escape(no));<br>
};<br>
<br>
#####Log#####<br>
log {<br>
&nbsp; &nbsp; &nbsp; &nbsp; source(s_network);<br>
&nbsp; &nbsp; &nbsp; &nbsp; parser(pattern_db);<br>
&nbsp; &nbsp; &nbsp; &nbsp; destination(udp_esxi_output);<br>
};<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <a href="http://lists.balabit.hu/pipermail/syslog-ng/attachments/20130427/20e80756/attachment.html" target="_blank">
http://lists.balabit.hu/pipermail/syslog-ng/attachments/20130427/20e80756/attachment.html</a><br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Sat, 27 Apr 2013 16:10:02 +0000<br>
</div>
</div>
From: Evan Rempel &lt;<a href="mailto:erempel@uvic.ca" target="_blank">erempel@uvic.ca</a>&lt;mailto:<a href="mailto:erempel@uvic.ca" target="_blank">erempel@uvic.ca</a>&gt;&gt;<br>
<div>Subject: Re: [syslog-ng] Can not get DBParse match macro result<br>
&nbsp; &nbsp; &nbsp; &nbsp; (syslog-ng 3.13 debian squeeze)<br>
To: &quot;Syslog-ng users&#39; and developers&#39; mailing list&quot;<br>
</div>
&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&gt;&gt;<br>
Message-ID: &lt;<a href="mailto:q8vb966l4qe0219lsusm5ju4.1367078999747@email.android.com" target="_blank">q8vb966l4qe0219lsusm5ju4.1367078999747@email.android.com</a>&lt;mailto:<a href="mailto:q8vb966l4qe0219lsusm5ju4.1367078999747@email.android.com" target="_blank">q8vb966l4qe0219lsusm5ju4.1367078999747@email.android.com</a>&gt;&gt;<br>




<div>Content-Type: text/plain; charset=&quot;iso-2022-jp&quot;<br>
<br>
It would appear that you have everything correct when the &quot;PROGRAM&quot; is ESXI but the log line as syslog-ng sees it has a PROGRAM of &quot;system&quot; according to your test log output.<br>
<br>
If you change the patterndb ruleset pattern to use a program of system rather than ESXI I think it would work.<br>
<br>
<br>
</div>
Evan Rempel &nbsp; <a href="tel:250.271.7691" value="+12502717691" target="_blank">250.271.7691</a>&lt;tel:<a href="tel:250.271.7691" value="+12502717691" target="_blank">250.271.7691</a>&gt;<br>
<div>University Systems, University of Victoria<br>
<br>
</div>
<div>
<div>???? &lt;<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&lt;mailto:<a href="mailto:onlydebian@gmail.com" target="_blank">onlydebian@gmail.com</a>&gt;&gt; wrote:<br>
<br>
<br>
<br>
when use pdbtool do match test, it is success. but from syslog-ng can not return result of macro<br>
i can not get macro result. &nbsp;for example, &nbsp; ${.esxi.month} &nbsp;no value, same as ${.esxi.host_ip} ${.esxi.time}<br>
<br>
test log output ,just like this.<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
=== system,error,critical, &nbsp; HOST IP ,<br>
<br>
<br>
do the pdbtool test, it&#39;s ok. &nbsp;wish someone can give me some solution and help. i have search some mail list but i can not get the right solution. &nbsp;thanks a lot.<br>
<br>
root@debian:~# pdbtool match -D -c -p /etc/syslog-ng/patterndb/esxi_pattern.xml -P ESXI -M &quot;Apr 26 15:17:31 192.168.88.71 vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev &quot;mpx.vmhba0:C0:T0:L0&quot; on path &quot;vmhba0:C0:T0:L0&quot;
 Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE&quot;<br>
Pattern matching part:<br>
@STRING:.esxi.month=Apr@ @STRING:.esxi.date=26@ @STRING:.esxi.time=15:17:31@ @IPv4:.esxi.host_ip=192.168.88.71@@ESTRING:.esxi.program= vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0
 Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE@ @ANYSTRING:.esxi.message=cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid sense
 data: 0x5 0x20 0x0. Act:NONE@<br>
Matching part:<br>
Apr 26 15:17:31 192.168.88.71 vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE<br>




Values:<br>
MESSAGE=Apr 26 15:17:31 192.168.88.71 vmkernel: cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE<br>




PROGRAM=ESXI<br>
.classifier.class=esxi<br>
.classifier.rule_id=182437592347598<br>
.esxi.month=Apr<br>
.esxi.date=26<br>
.esxi.time=15:17:31<br>
.esxi.host_ip=192.168.88.71<br>
.esxi.program= vmkernel<br>
.esxi.message=cpu11:8203)NMP: nmp_ThrottleLogForDevice:2319: Cmd 0x1a (0x4124444a6280, 0) to dev mpx.vmhba0:C0:T0:L0 on path vmhba0:C0:T0:L0 Failed: H:0x0 D:0x2 P:0x0 Valid sense data: 0x5 0x20 0x0. Act:NONE<br>
root@debian:~#<br>
<br>
<br>
my configuration like as below<br>
<br>
######## &nbsp; esxi_pattern.xml ############<br>
&lt;?xml version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&gt;<br>
&lt;patterndb version=&#39;3&#39; pub_date=&#39;2009-04-17&#39;&gt;<br>
&lt;ruleset name=&#39;esxi&#39; id=&#39;123456678&#39;&gt;<br>
&lt;pattern&gt;ESXI&lt;/pattern&gt;<br>
&lt;rules&gt;<br>
&lt;rule provider=&#39;Fone Bro&#39; id=&#39;182437592347598&#39; class=&#39;esxi&#39;&gt;<br>
&lt;patterns&gt;<br>
&lt;pattern&gt;@STRING:.esxi.month:@ @STRING:.esxi.date:@ @STRING:.esxi.time::@ @IPv4:.esxi.host_ip:@@ESTRING:.esxi.program::@ @ANYSTRING:.esxi.message@&lt;/pattern&gt;<br>
&lt;/patterns&gt;<br>
&lt;/rule&gt;<br>
&lt;/rules&gt;<br>
&lt;/ruleset&gt;<br>
&lt;/patterndb&gt;<br>
<br>
######## syslog-ng.conf &nbsp; &nbsp; &nbsp;########<br>
<br>
#####Parser#####<br>
parser pattern_db {<br>
&nbsp; &nbsp; &nbsp; &nbsp; db_parser( file(&quot;/etc/syslog-ng/patterndb/esxi_pattern.xml&quot;));<br>
};<br>
<br>
#Check pattern matching<br>
destination udp_esxi_output {<br>
&nbsp; &nbsp;file(&quot;/var/log/pattern_output&quot;<br>
&nbsp; &nbsp;template(&quot;=== $PROGRAM,${.esxi_month} ${.esxi.date} ${.esxi.time} HOST IP ${.esxi.host_ip},${.esxi.message}\n&quot;)<br>
template_escape(no));<br>
};<br>
<br>
#####Log#####<br>
log {<br>
&nbsp; &nbsp; &nbsp; &nbsp; source(s_network);<br>
&nbsp; &nbsp; &nbsp; &nbsp; parser(pattern_db);<br>
&nbsp; &nbsp; &nbsp; &nbsp; destination(udp_esxi_output);<br>
};<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <a href="http://lists.balabit.hu/pipermail/syslog-ng/attachments/20130427/2f67c039/attachment-0001.htm" target="_blank">
http://lists.balabit.hu/pipermail/syslog-ng/attachments/20130427/2f67c039/attachment-0001.htm</a><br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
</div>
</div>
syslog-ng maillist &nbsp;- &nbsp;<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&lt;mailto:<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>&gt;<br>




<div>
<div><a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
<br>
<br>
End of syslog-ng Digest, Vol 96, Issue 25<br>
*****************************************<br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div></div></div>

</blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>