<p dir="ltr"><br>
On Feb 16, 2016 5:16 PM, &quot;Scot&quot; &lt;<a href="mailto:scotrn@gmail.com">scotrn@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; Not easily without sending some sensitive data.  <br>
&gt;<br>
&gt; I take it the rule set logic seems correct then  ? <br>
&gt;<br>
&gt; This filter will remove data from both/either subnet from a message stream, <br>
&gt; filter      f_network  {not netmask(&quot;<a href="http://192.168.238.0/24">192.168.238.0/24</a>&quot;) and not netmask(&quot;<a href="http://192.168.239.0/24">192.168.239.0/24</a>&quot;) ; }; <br><br></p>
<p dir="ltr">Yup</p>
<p dir="ltr">&gt;<br>
&gt; These rules work in the same concatenation way ?   <br>
&gt; filter(f_network); filter(f_audit); filter(f_mcafee); destination (d_remote);<br></p>
<p dir="ltr">Filters are ANDed together. So all filters must match.<br>
&gt;<br>
&gt;<br>
&gt; On Tue, Feb 16, 2016 at 9:28 AM, PÁSZTOR György &lt;<a href="mailto:pasztor@linux.gyakg.u-szeged.hu">pasztor@linux.gyakg.u-szeged.hu</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hi,<br>
&gt;&gt;<br>
&gt;&gt; &quot;Scot&quot; &lt;<a href="mailto:scotrn@gmail.com">scotrn@gmail.com</a>&gt; írta 2016-02-16 09:22-kor:<br>
&gt;&gt; &gt; I&#39;m still getting stuff on nmsloghost that I think should be filtered out.<br>
&gt;&gt;<br>
&gt;&gt; Can you show us an example, which is forwarded to nmsloghost,<br>
&gt;&gt; but should be filtered out?<br>
&gt;&gt; A simple .pcap file, or &quot;grep&quot; or anything would be nice.<br>
&gt;&gt;<br>
&gt;&gt; Cheers,<br>
&gt;&gt; Gyu<br>
&gt;&gt; ______________________________________________________________________________<br>
&gt;&gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
&gt;&gt; Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
&gt;&gt; FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt; ______________________________________________________________________________<br>
&gt; Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
&gt; Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
&gt; FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
&gt;<br>
&gt;<br>
</p>