<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div><div><div>Hi guys,<br><br></div>I have following setup in place:<br></div>remote server - 192.168.1.10<br></div>pseudomizer - syslog-ng PE in client mode - 192.168.2.10<br></div>SIEM - 192.168.3.10<br><br></div>So I am sending syslog logs from remote server to pseudomizer:<br></div>source src { internal()};<br></div>destination dst { udp (&quot;192.168.2.10) port (514);};<br></div>log { source(src); destination (dst);<br><br></div>this is very old config from syslog v4<br><br></div>Then on pseudomizer - syslog-ng LTS 6.0.1 PE, I am collecting the logs, processing them - removing private data, putting pseudonyms instead and forwarding them to SIEM.<br><br>source s_net_udp514 {<br>    syslog(<br>        ip(192.168.2.10)<br>        ip-protocol(4)<br>        transport(&quot;udp&quot;)<br>        so_rcvbuf(2097152)<br>        );<br>};<br><br>source src {<br>        internal();<br>        unix-dgram(&quot;/dev/log&quot;);<br>        system ();<br>};<br><br>destination d_net_udp514 {<br>         syslog ( <br>         &quot;192.168.3.10&quot;<br>         port(514) <br>         transport(udp)<br>         spoof_source(yes) <br>         mark_mode(periodical));};<br>rewrite r_rewrite {<br>subst(&quot;admin&quot;, &quot;pseudonym000001&quot;, value(&quot;MESSAGE&quot;), flags(&quot;global&quot;));<br><br>log {<br>        source(s_net_udp514); source (src);<br>        rewrite(r_rewrite); # do the pseudomizing<br>        destination(d_net_udp514);<br>};<br><br></div>On SIEM device, I can see only pseudomizer internal logs (src), not processed logs from remote server.<br><br></div>Any advice ?<br><br></div>Many thanks.<br><br></div>Denis<br></div>