<div dir="ltr"><div>I&#39;m still getting stuff on nmsloghost that I think should be filtered out. </div><div><br></div><div>Do my comments match the conf file ? </div><div><br></div><div><div><b># Source UDP/TCP syslog port 514.  </b></div><div>source s_net {</div><div>        udp(ip(0.0.0.0) port(514) so_rcvbuf(262142));</div><div>        tcp(ip(0.0.0.0) port(514) max-connections(250) so_rcvbuf(262142) log_iw_size(25000) );</div><div>};</div></div><div><br></div><div><b># Remove messages from 2 network segments </b></div><div>filter      f_network  {not netmask(&quot;<a href="http://192.168.238.0/24">192.168.238.0/24</a>&quot;) and not netmask(&quot;<a href="http://192.168.239.0/24">192.168.239.0/24</a>&quot;) ; };<br></div><div><br></div><div><b># Remove messages matching EITHER expression</b></div><div><div>filter      f_audit   { not match(&quot;Audit&quot; value(&quot;MESSAGE&quot;)) and</div><div>                             not match(&quot;Detailed Tracking&quot; value(&quot;MESSAGE&quot;)); };</div></div><div><br class=""><b># Remove messages matching &quot;The scan found detections&quot;  expression<br></b></div><div>filter      f_mcafee  { not match(&quot;The scan found detections.&quot; value(&quot;MESSAGE&quot;)); };<br></div><div><br></div><div><b># Destination rule suppress any duplicates in a 10 second window.  <br class=""></b>destination d_remote  {udp (&quot;nmsloghost&quot; suppress(10)); };<br></div><div><br></div><div><b># Log from s_net and filter out all matches from f_*  log udp to nmsloghost. </b></div><div><b># There is no function to &quot;filter( not f_network);&quot; </b></div><div>log { source(s_net);</div><div>          filter(f_network); filter(f_audit); filter(f_mcafee); destination (d_remote);</div><div><br></div><div><br></div></div>