<p dir="ltr">Hmm what was the sniffer that printed these lines? I would prefer to see what was in the wire exactly as these seem to have been processed somewhat.</p>
<div class="gmail_quote">On May 12, 2015 5:02 PM, &quot;Ray Van Dolson&quot; &lt;<a href="mailto:rvandolson@esri.com">rvandolson@esri.com</a>&gt; wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, May 12, 2015 at 08:49:20AM +0200, Scheidler, Balázs wrote:<br>
&gt; The most important thing with multiline is the transport.<br>
&gt;<br>
&gt; Udp can transmit multiline messages just as syslog(transport(tcp))<br>
&gt; but of course the client has to support the same protocol.<br>
&gt;<br>
&gt; What do you use on the solaris side?<br>
<br>
Using the default syslog daemon in Solaris 10 (uses UDP).<br>
<br>
&gt;<br>
&gt; If you haven&#39;t changed the client I don&#39;t see why the message would<br>
&gt; be truncated like that. Once received syslog-ng would only replace<br>
&gt; newlines with spaces.<br>
&gt;<br>
&gt; So I guess it is a transport issue on the sending side. But<br>
&gt; tcpdump/wireshark should help a lot here.<br>
<br>
Packet capture results leave me scratching my head a bit:<br>
<br>
714 2015-05-12 03:41:06.<a href="tel:172567%20%2010" value="+3617256710">172567  10</a>.49.6.166 10.49.7.16  Syslog  150 KERN.WARNING: May 12 03:41:06 scsi: [ID 243001 kern.warning] WARNING: /pci@0,0/pci8086,3410@9/pci15d9,400@0 (mpt_sas0):<br>
715 2015-05-12 03:41:06.<a href="tel:172575%20%2010" value="+3617257510">172575  10</a>.49.6.166 10.49.7.16  Syslog  127 KERN.WARNING: May 12 03:41:06 \tmptsas_handle_event_sync: IOCStatus=0x8000, IOCLogInfo=0x31110610<br>
<br>
718 2015-05-12 03:41:10.172475  10.49.6.166 10.49.7.16  Syslog  138 <a href="http://KERN.INFO" target="_blank">KERN.INFO</a>: May 12 03:41:10 scsi: [ID 365881 <a href="http://kern.info" target="_blank">kern.info</a>] /pci@0,0/pci8086,3410@9/pci15d9,400@0 (mpt_sas0):<br>
719 2015-05-12 03:41:10.<a href="tel:172483%20%2010" value="+3617248310">172483  10</a>.49.6.166 10.49.7.16  Syslog  105 <a href="http://KERN.INFO" target="_blank">KERN.INFO</a>: May 12 03:41:10 \tLog info 0x31110610 received for target 24.<br>
<br>
721 2015-05-12 03:41:10.<a href="tel:172487%20%2010" value="+3617248710">172487  10</a>.49.6.166 10.49.7.16  Syslog  142 KERN.WARNING: May 12 03:41:10 scsi: [ID 107833 kern.warning] WARNING: /scsi_vhci/disk@g5000c50019bc81e1 (sd31):<br>
722 2015-05-12 03:41:10.<a href="tel:172491%20%2010" value="+3617249110">172491  10</a>.49.6.166 10.49.7.16  Syslog  110 KERN.WARNING: May 12 03:41:10 \tSCSI transport failed: reason &#39;reset&#39;: giving up<br>
<br>
(Sorry for the word-wrap).<br>
<br>
So, you can see the second line comes through as a completely separate<br>
message with a tab character &#39;\t&#39; at the beginning.<br>
<br>
The odd thing?  Packets 714 &amp; 715 come through fine and syslog-ng<br>
appends them both to my output log.<br>
<br>
However, for pairs 718 &amp; 719 and 721 &amp; 722, only the first line comes<br>
through.  In both cases the tab character is 0x09 so not seeing a<br>
difference there.<br>
<br>
Makes me think it&#39;s something in the syslog-ng config rather than the<br>
message.  Probably will move to something super simple to see that<br>
fixes it (keeping in mind this behavior didn&#39;t occur w/ syslog-ng 2.x).<br>
<br>
Ray<br>
<br>
&gt;<br>
&gt; On May 12, 2015 05:43, &quot;Ray Van Dolson&quot; &lt;<a href="mailto:rvandolson@esri.com">rvandolson@esri.com</a>&gt; wrote:<br>
&gt;<br>
&gt;     Admittedly haven&#39;t done enough searching or testing on this, but am<br>
&gt;     hoping someone might have a quick answer.<br>
&gt;<br>
&gt;     Recently moved from the 2.x verions to 3.2.5 (as part of EPEL on<br>
&gt;     RHEL6).  Have noticed that we&#39;re no longer getting the full messages<br>
&gt;     from some Solaris boxen using the tcp() and udp() source definitions.<br>
&gt;<br>
&gt;     Messages like this:<br>
&gt;<br>
&gt;     May 10 02:29:30 dev-zfs2 scsi: [ID 365881 <a href="http://kern.info" target="_blank">kern.info</a>] /pci@0,0/<br>
&gt;     pci8086,3410@9/pci15d9,400@0 (mpt_sas0):<br>
&gt;     May 10 02:29:30 dev-zfs2        Log info 0x31080000 received for target 24.<br>
&gt;     May 10 02:29:30 dev-zfs2        scsi_status=0x0, ioc_status=0x804b,<br>
&gt;     scsi_state=0x0<br>
&gt;<br>
&gt;     Come through looking like this:<br>
&gt;<br>
&gt;     May 10 02:29:30 dev-zfs2 scsi: [ID 365881 <a href="http://kern.info" target="_blank">kern.info</a>] /pci@0,0/<br>
&gt;     pci8086,3410@9/pci15d9,400@0 (mpt_sas0):<br>
&gt;<br>
&gt;     (Only the initial line)<br>
&gt;<br>
&gt;     However, messages like this one:<br>
&gt;<br>
&gt;     May  9 04:12:57 dev-zfs2 scsi: [ID 243001 kern.warning] WARNING: /pci@0,0/<br>
&gt;     pci8086,3410@9/pci15d9,400@0 (mpt_sas0):<br>
&gt;     May  9 04:12:57 dev-zfs2        mptsas_handle_event_sync: IOCStatus=0x8000,<br>
&gt;     IOCLogInfo=0x31110610<br>
&gt;<br>
&gt;     .. do seem to be coming through &quot;whole&quot; (I do note that the priority<br>
&gt;     is different in both).<br>
&gt;<br>
&gt;     Relevant config items are as follows:<br>
&gt;<br>
&gt;     log {<br>
&gt;         source(remote);<br>
&gt;         filter(syslog);<br>
&gt;         destination(hosts_syslog);<br>
&gt;     };<br>
&gt;<br>
&gt;     source remote {<br>
&gt;         udp();<br>
&gt;         tcp();<br>
&gt;         # udp(ip(0.0.0.0) port(514));<br>
&gt;         # tcp(ip(0.0.0.0) port(514));<br>
&gt;     };<br>
&gt;<br>
&gt;     destination hosts_syslog {<br>
&gt;         file(&quot;/logs/hosts/$HOST/$YEAR/$MONTH/syslog.$HOST.$YEAR.$MONTH.log&quot;<br>
&gt;             create_dirs(yes));<br>
&gt;         pipe(&quot;/logs/hosts/everything.fifo&quot;);<br>
&gt;     };<br>
&gt;<br>
&gt;     filter syslog {<br>
&gt;         (not facility(mail)<br>
&gt;         and not filter(f_ucgw)<br>
&gt;         and not filter(f_esx));<br>
&gt;     };<br>
&gt;<br>
&gt;     Will try and do some packet captures to confirm Solaris is, in fact,<br>
&gt;     sending the entire message (I believe it is since this worked on<br>
&gt;     syslog-ng 2.x).<br>
&gt;<br>
&gt;     Thanks,<br>
&gt;     Ray<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>