<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body>
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Yes, I only want said messages in one of the two files, not both.<br>
</p>
<p><br>
</p>
<div id="Signature">Vadim Anatoly Pushkin  </div>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> syslog-ng <syslog-ng-bounces@lists.balabit.hu> on behalf of james.r.hendrick <james.r.hendrick@gmail.com><br>
<b>Sent:</b> Friday, April 21, 2017 9:40:20 AM<br>
<b>To:</b> Syslog-ng users' and developers' mailing list<br>
<b>Subject:</b> Re: [syslog-ng] Unable to Filter Based On Facility into Different Files</font>
<div> </div>
</div>
<div>
<div>flags (final) stops the professing in the first statement </div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div id="composer_signature">
<div style="font-size:85%;color:#575757" dir="auto">Sent from my Verizon, Samsung Galaxy smartphone</div>
</div>
<div><br>
</div>
<div style="font-size:100%;color:#000000"><!-- originalMessage -->
<div>-------- Original message --------</div>
<div>From: wiskbroom@hotmail.com </div>
<div>Date: 4/21/17 9:37 AM (GMT-05:00) </div>
<div>To: syslog-ng@lists.balabit.hu </div>
<div>Subject: [syslog-ng] Unable to Filter Based On Facility into Different Files
</div>
<div><br>
</div>
</div>
<div id="divtagdefaultwrapper" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif" dir="ltr">
<p>Greetings!<br>
</p>
<p><br>
</p>
<p>I am trying to rewrite syslog-ng.conf to create files based on facilities; one way for non-auth messages, another for all authentication messages (ssh, su, sudo, and console logins).</p>
<p><br>
</p>
<p>I believe I have two issues with my statements below:</p>
<p>1. My ${HOST}- might be incorrect.</p>
<p>2. Am I able to write two filters for a single source? My single source in this case are Linux boxes, all sending their syslog traffic to my syslog-NG server with *.*.</p>
<p><br>
</p>
<p>My statements below, comments and criticism very welcome.</p>
<p><br>
</p>
<p>filter f_linux_secure   { facility(authpriv) and level(info..emerg); };<br>
filter f_linux_messages { level(info..emerg); };<br>
<br>
<br>
destination d_linux_secure      {<br>
        file("/data/Linux/$<wbr>{HOST}-secure.log" owner("root") group("systems") perm(0640) dir_perm(0750) create_dirs(yes));<br>
destination d_linux_messages    {<br>
        file("/data/Linux/$<wbr>{HOST}-messages.log" owner("root") group("systems") perm(0640) dir_perm(0750) create_dirs(yes));<br>
<br>
log { source(s_remote);         filter(f_linux_secure); destination(d_linux_secure); flags(final); };<br>
log { source(s_remote);         filter(f_linux_messages); destination(d_linux_messages); flags(final); };</p>
<p><br>
</p>
<p><br>
</p>
<p>Regards,</p>
<p><br>
</p>
<p><br>
</p>
<div id="Signature">Vadim Anatoly Pushkin </div>
</div>
</div>
</body>
</html>