<div dir="ltr">Hi all,<div><br></div><div>I&#39;m using the pattern-db to extract values from a firewall&#39;s log. </div><div><br></div><div>This far, everything&#39;s working great.</div><div><br></div><div>The log looks something like this:</div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">Jan 20 2016 21:48:45: %ASA-7-746012: user-identity: Add IP-User mapping 10.10.99.7 - LOCAL\alex Succeeded - VPN user </font><br></div><div><br></div><div>Using pdbtool and matching the log against the xml pattern file, this is showing me good results :</div><div><br></div><div><br></div><div><div><font face="monospace, monospace">:$pdbtool match -P &quot;%ASA-7-746012&quot; -M &quot;user-identity: Add IP-User mapping 10.10.99.7 - LOCAL\alex Succeeded - VPN user&quot; -p /etc/syslog-ng/patterndb.d/vpn-parser-up.xml -D -c </font></div><div><font face="monospace, monospace">Pattern matching part:</font></div><div><font face="monospace, monospace"><font color="#6aa84f">user-identity: Add IP-User mapping</font> <font color="#e69138">@IPv4:VPN_IP=10.10.99.7@</font> - <font color="#6aa84f">LOCAL\</font><font color="#bf9000">@STRING:VPN_USER=alex@</font><font color="#6aa84f"> Succeeded - VPN user</font></font></div><div><font face="monospace, monospace">Matching part:</font></div><div><font face="monospace, monospace"><font color="#6aa84f">user-identity: Add IP-User mapping </font><font color="#bf9000">10.10.99.7</font> - <font color="#6aa84f">LOCAL\</font><font color="#bf9000">alex</font> <font color="#6aa84f">Succeeded - VPN user</font></font></div><div><font face="monospace, monospace">Values:</font></div><div><font face="monospace, monospace">MESSAGE=user-identity: Add IP-User mapping 10.10.99.7 - LOCAL\alex Succeeded - VPN user</font></div><div><font face="monospace, monospace">PROGRAM=%ASA-7-746012</font></div><div><font face="monospace, monospace">.classifier.class=vpn.access_log</font></div><div><font face="monospace, monospace">.classifier.rule_id=019045a7383c252e57c20435ae5bf86c</font></div><div><font face="monospace, monospace">VPN_IP=10.10.99.7</font></div><div><font face="monospace, monospace">VPN_USER=alex</font></div><div><font face="monospace, monospace">TAGS=</font></div></div><div><font face="monospace, monospace"><br></font></div><div><br></div><div>Here&#39;s the xml file</div><div><br></div><div><div><font face="monospace, monospace">&lt;patterndb version=&#39;4&#39; pub_date=&#39;2015-12-22&#39;&gt;</font></div><div><font face="monospace, monospace">  &lt;ruleset id=&#39;04ba26e756011614c57cf469fed7b5c0&#39; name=&#39;%ASA-7-746012&#39;&gt;</font></div><div><font face="monospace, monospace">    &lt;pattern&gt;%ASA-7-746012&lt;/pattern&gt;</font></div><div><font face="monospace, monospace">     &lt;rules&gt;</font></div><div><font face="monospace, monospace">      &lt;rule class=&#39;vpn.access_log&#39; id=&#39;019045a7383c252e57c20435ae5bf86c&#39; provider=&#39;alex&#39;&gt;</font></div><div><font face="monospace, monospace">        &lt;patterns&gt;</font></div><div><font face="monospace, monospace">                &lt;pattern&gt;user-identity: Add IP-User mapping @IPv4:VPN_IP@ - LOCAL\@STRING:VPN_USER@ Succeeded - VPN user&lt;/pattern&gt;</font></div><div><font face="monospace, monospace">        &lt;/patterns&gt;</font></div><div><font face="monospace, monospace">        &lt;/rule&gt;   </font></div><div><font face="monospace, monospace">         &lt;/rules&gt;</font></div><div><font face="monospace, monospace">  &lt;/ruleset&gt;</font></div><div><font face="monospace, monospace">&lt;/patterndb&gt;</font></div></div><div><br></div><div><br></div><div>Now, the problem lies on the destination which is using the smtp driver.</div><div><br></div><div><div><font face="monospace, monospace">destination vpn_mail_up { </font></div><div><font face="monospace, monospace">        smtp(</font></div><div><font face="monospace, monospace">                host(&quot;x.x.x.x&quot;)</font></div><div><font face="monospace, monospace">                port(25)</font></div><div><font face="monospace, monospace">                from(&quot;alex@x.y&quot; &quot;alex@x.y&quot;)</font></div><div><font face="monospace, monospace">                to(&quot;${VPN_USER}@x.y&quot;)</font></div><div><font face="monospace, monospace">                subject(&quot;vpn connection&quot;)</font></div><div><font face="monospace, monospace">                body(&quot;vpn connection from ${VPN_USER}  with IP: ${VPN_IP}\n&quot;)</font></div><div><font face="monospace, monospace">        );</font></div><div><font face="monospace, monospace">};</font></div></div><div><br></div><div>The variable is functional inside the body() but not in the to() field.</div><div><br></div><div>Here&#39;s a dump I extracted directly from the server on the tcp session to the mail server:</div><div><br></div><div><div><font color="#cc0000" face="monospace, monospace"><a href="http://RCPT.TO">RCPT.TO</a>:&lt;${VPN_USER}@x.y&gt;..</font></div><div><font face="monospace, monospace">BDAT.411..</font></div><div><font face="monospace, monospace">X-Mailer:.syslog-ng.3.5.6..</font></div><div><font face="monospace, monospace">Date:.Wed,.20.Jan.2016.21:51:51.+0100..</font></div><div><font face="monospace, monospace">From:.alex@x.y..</font></div><div><font face="monospace, monospace">Message-Id:.&lt;1453323111.149975.19608@debian&gt;..</font></div><div><font color="#cc0000" face="monospace, monospace">To:.&quot;${VPN_USER}@x.y&quot;.&lt;${VPN_USER}@x.y&gt;..</font></div><div><font face="monospace, monospace">Subject:.vpn.connection..</font></div><div><font face="monospace, monospace">.BDAT.68..vpn.connection.from.<font color="#38761d" style="background-color:rgb(217,234,211)">alex</font>..with.IP:.<span style="background-color:rgb(217,234,211)"><font color="#38761d">10.10.99.7</font></span>.BDAT.2.LAST..</font></div></div><div><br></div><div>The variable is being populated in the body message but not the recipient. </div><div><br></div><div>Is there any chance the variable could only be used once (!?) or not being able to be used inside the to() ? </div><div><br></div><div>Regards,</div><div><br></div><div>Alex</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div>