<div dir="ltr">Hello community,<div><br></div><div><div>I have the following diagram between some PE and Syslog-ng:</div><div>              <br></div><div>Cisco devices -&gt; Syslog-ng (running on Solaris) </div><div><br></div><div>Syslog-ng version:</div><div>o<span class="" style="white-space:pre">        </span>NTPSYSLOG# syslog-ng -V</div><div>o<span class="" style="white-space:pre">        </span>syslog-ng 3.0.4</div><div>o<span class="" style="white-space:pre">        </span>Revision: ssh+git://bazsi@git.balabit//var/scm/git/syslog-ng/syslog-ng-ose--mainline--3.0#master#1b5d618e301ad94aa20e692ffba16469dece8d10</div><div>o<span class="" style="white-space:pre">        </span>Compile-Date: Sep  2 2009 06:15:53</div><div>o<span class="" style="white-space:pre">        </span>Enable-Threads: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-Debug: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-GProf: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-Memtrace: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-Sun-STREAMS: on</div><div>o<span class="" style="white-space:pre">        </span>Enable-Sun-Door: on</div><div>o<span class="" style="white-space:pre">        </span>Enable-IPv6: on</div><div>o<span class="" style="white-space:pre">        </span>Enable-Spoof-Source: on</div><div>o<span class="" style="white-space:pre">        </span>Enable-TCP-Wrapper: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-SSL: on</div><div>o<span class="" style="white-space:pre">        </span>Enable-SQL: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-Linux-Caps: off</div><div>o<span class="" style="white-space:pre">        </span>Enable-Pcre: on</div><div><br></div><div><br></div><div>One of the cisco devices sends a particular log line that is splited in two lines (there is a line-break in between):</div><div><i>Mar 13 10:33:13: %BGP-3-INVALID_MPLS: Invalid MPLS label (1)</i></div><div><i>             received in update for prefix XXXX:XXXX:XXX.XXX.XXX.X/XXX from X.X.X.X</i></div><div><span class="" style="white-space:pre">                        </span> </div><div>When the log reaches the Syslog-ng on Solaris server, it is logged like this:</div><div><i>Mar 13 10:33:14 PE06PVAL01 1182434: Mar 13 10:33:13: %BGP-3-INVALID_MPLS: Invalid MPLS label (1)</i></div><div><i>Mar 13 10:33:14 PE06PVAL01 1182435:          received in update for prefix XXXX:XXXX:XXX.XXX.XXX.X/XXX from X.X.X.X</i></div><div><br></div><div>The log is transfered by UDP from the cisco device to the Solaris server (where the syslog-ng runs). This is the configuration used in syslog-ng:</div><div><br></div><div><br></div><div><i>ntpsyslog&gt; more /etc/syslog-ng/syslog-ng.conf</i></div><div><i>@version: 3.0</i></div><div><i>#</i></div><div><i># syslog-ng configuration file.</i></div><div><i>#</i></div><div><i># See syslog-ng(8) and syslog-ng.conf(5) for more information.</i></div><div><i>#</i></div><div><i><br></i></div><div><i><br></i></div><div><i>options {</i></div><div><i>  stats_freq (0);</i></div><div><i>  flush_lines (0);</i></div><div><i>  time_reopen (10);</i></div><div><i>  log_fifo_size (1000);</i></div><div><i>  long_hostnames(off);</i></div><div><i>  use_dns (yes);</i></div><div><i>  use_fqdn (no);</i></div><div><i>  create_dirs (no);</i></div><div><i>  keep_hostname (yes);</i></div><div><i>  perm(0640);</i></div><div><i>};</i></div><div><i><br></i></div><div><i><b>source s_sys { sun-streams (&quot;/dev/log&quot; door(&quot;/etc/.syslog_door&quot;)); internal(); udp(flags(&quot;no-multi-line&quot;)); };</b></i><br></div><div><br></div><div><i>destination d_cons { file(&quot;/dev/console&quot;); };</i></div><div><i>destination d_mesg { file(&quot;/var/adm/messages&quot;); };</i></div><div><i>destination d_mail { file(&quot;/var/log/syslog&quot;); };</i></div><div><i>destination d_auth { file(&quot;/var/log/authlog&quot;); };</i></div><div><i>destination d_mlop { usertty(&quot;operator&quot;); };</i></div><div><i>destination d_mlrt { usertty(&quot;root&quot;); };</i></div><div><i>destination d_mlal { usertty(&quot;*&quot;); };</i></div><div><i>destination cisco { file(&quot;/respaldo/syslog/cisco/cisco.log&quot;); };</i></div><div><i>#----------------------------------------------------------------------</i></div><div><i>#  Forward to a nisip server</i></div><div><i>#</i></div><div><i>destination cnc-cisco     { udp(&quot;X.X.X.X&quot; port(X)); };</i></div><div><i>#----------------------------------------------------------------------</i></div><div><i><br></i></div><div><i>filter f_filter1   { level(err) or</i></div><div><i>                     (level(notice) and facility (auth, kern)); };</i></div><div><i>filter f_filter2   { level(err) or</i></div><div><i>                     (facility(kern) and level(notice)) or</i></div><div><i>                     (facility(daemon) and level(notice)) or</i></div><div><i>                     (facility(mail) and level(crit)); };</i></div><div><i>filter f_filter3   { level(alert) or</i></div><div><i>                     (facility(kern) and level(err)) or</i></div><div><i>                     (facility(daemon) and level(err)); };</i></div><div><i>filter f_filter4   { level(alert); };</i></div><div><i>filter f_filter5   { level(emerg); };</i></div><div><i>filter f_filter6   { facility(kern) and level(notice); };</i></div><div><i>filter f_filter7   { facility(mail) and level(debug); };</i></div><div><i>#filter f_filter10   { level(alert); };</i></div><div><i>filter f_filter9   { facility(user) and level(alert); };</i></div><div><i>filter f_cisco     { facility(local2); };</i></div><div><i><br></i></div><div><i><br></i></div><div><i><br></i></div><div><i># Alternativa</i></div><div><i>log { source(s_sys_cisco); filter(f_cisco); destination(cisco); };</i></div><div><i># Alternativa</i></div><div><i><br></i></div><div><i><br></i></div><div><i>source s_juniper { file(&quot;/respaldo/syslog/juniper/juniper.log&quot;); };</i></div><div><i>destination d_juniper_tcp { tcp(&quot;X.X.X.X&quot; port(X)); };</i></div><div><i>filter f_juniper_tcp {not match(&quot;TOPO|/kernel:|snmpd|trace_*|PING_*|BGP_*|bgp_*|repeated|task|task_connect|EVENT|received iff message|rshd|cron&quot; value(&quot;MESSAGE</i></div><div><i>&quot;)); };</i></div><div><i>log { source(s_juniper); filter(f_juniper_tcp); destination(d_juniper_tcp); };</i></div><div><i><br></i></div><div><i>source s_cisco { file(&quot;/respaldo/syslog/cisco/cisco.log&quot;); };</i></div><div><i>destination d_cisco_tcp { tcp(&quot;X.X.X.X&quot; port(X)); };</i></div><div><i>log { source(s_cisco); destination(d_cisco_tcp); };</i></div><div><i><br></i></div><div><i><br></i></div><div><i>##################################</i></div><div><i># FWD from Syslog to CNC Cisco</i></div><div><i>##################################</i></div><div><i>source s_cisco { file(&quot;/respaldo/syslog/cisco/cisco.log&quot;); };</i></div><div><i>log {source(s_cisco); destination(cnc-cisco); };</i></div><div><i>ntpsyslog&gt;</i></div><div><br></div><div><br></div><div><br></div><div>I have tried different configurations in order to make the &quot;no-multi-line&quot; flag work. However, none of them have worked:</div><div>destination cisco { file(&quot;/respaldo/syslog/cisco/cisco.log&quot; flags(no-multi-line)); };</div><div><br></div><div>source s_sys { sun-streams (&quot;/dev/log&quot; door(&quot;/etc/.syslog_door&quot;)); internal(); udp(flags(&quot;no-multi-line&quot;)); };</div><div><br></div><div>If more information is required, please do not hesitate to ask for it.</div><div><br></div><div>Thank you beforehand for your help.</div><div><br></div><div>Alan Sam</div><div><br></div><div><span class="" style="white-space:pre">                </span> </div><div><br></div></div><div><br></div><div><br></div></div>