<p dir="ltr">My take is that small is good, so I'd use separate db-parser instances. Not to mention that sometimes db parser is not the best to parse CSV or key value data, CV and splitting by application gives you the chance to perform parsing differently</p>
<div class="gmail_extra"><br><div class="gmail_quote">On Oct 7, 2016 9:02 PM, "Scot Needy" <<a href="mailto:scotrn@gmail.com">scotrn@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I have some code that can pull subnet info from IPplan or Solarwinds to generate 3 conf files.<br>
<br>
dynamic-dest.conf<br>
        destination d_192_168_1_0 { file(/opt/syslog-ng/logs/192_<wbr>168_1_0/$YEAR$MONTH$DAY-$HOUR-<wbr>$HOST.log);};<br>
<br>
dynamic-filter.conf<br>
        filter f_192_168_1_0 { netmask(<a href="http://192.168.1.0/24);" rel="noreferrer" target="_blank">192.168.1.0/24);</a>};<br>
<br>
dynamic-logs.conf<br>
        log { source(s_net); filter(f_192_168_1_0); destination(d_192_168_1_0);};<br>
<br>
<br>
Many but not all of these subnets a specific to an application like “Cisco ASA, VMware or server"<br>
<br>
This works well for flat file archiving but when using a pattern database would it be best to have one single large patterndb or define unique ones for each area when splitting that data stream to ES ?<br>
<br>
        log { source(s_net); parser(pattern_db); destination(d_es);};<br>
<br>
OR<br>
        log { source(s_net); filter(f_192_168_1_0); parser(ESXpattern_db) ;destination(d_es);};<br>
        log { source(s_net); filter(f_192_168_2_0); parser(ASApattern_db) ;destination(does);};<br>
        …<br>
<br>
<br>
<br>
<br>
<br>
<br>
______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
</blockquote></div></div>