<div dir="ltr">Hi,<div><br></div><div>I just started to test, learn etc  syslog-ng, my server configuration is really basic:</div><div><br></div><div>Q: Can i filter (and mark them on client) the incoming logs, so i dont have to open multiple ports for different logs?</div><div><br></div><div><div>#-----------------------------------Source---------------------------------</div><div><br></div><div>source s_network_testweb01_access {</div><div>    tcp(ip(192.168.56.48)</div><div>    port("16601"));</div><div>};</div><div><br></div><div>source s_network_testweb01_error {</div><div>    tcp(ip(192.168.56.48)</div><div>    port("16602"));</div><div>};</div><div><br></div><div>source s_network_testweb01_referer {</div><div>    tcp(ip(192.168.56.48)</div><div>    port("16603"));</div><div>};</div><div><br></div><div><br></div><div>#------------------------------------Destination--------------------------</div><div><br></div><div>destination d_apache_access_testweb01 {</div><div>    file("/var/log/syslog-ng/apache2/$FULLHOST.access"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>    dir_group("adm")</div><div>    persist-name("testweb_access"));</div><div>....</div><div>    file("/var/log/archive/$R_YEAR/apache/$R_MONTH/$FULLHOST.access.$R_DAY"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>    dir_group("adm")</div><div>    persist-name("testweb_access_archive"));</div><div>};</div><div><br></div><div>destination d_apache_error_testweb01 {</div><div>    file("/var/log/syslog-ng/apache2/$FULLHOST.error"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>    dir_group("adm")</div><div>    persist-name("testweb_error"));</div><div>....</div><div>    file("/var/log/archive/$R_YEAR/apache/$R_MONTH/$FULLHOST.error.$R_DAY"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>        dir_group("adm")</div><div>    persist-name("testweb_error_archive"));</div><div>};</div><div><br></div><div>destination d_apache_referer_testweb01 {</div><div>    file("/var/log/syslog-ng/apache2/$FULLHOST.referer"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>    dir_group("adm")</div><div>    persist-name("testweb_referer"));</div><div>....</div><div>    file("/var/log/archive/$R_YEAR/apache/$R_MONTH/$FULLHOST.referer.$R_DAY"</div><div>    owner("root")</div><div>    group("adm")</div><div>    perm(0640)</div><div>    create_dirs(yes)</div><div>    dir_owner("root")</div><div>    dir_group("adm")</div><div>    persist-name("testweb_referer_archive"));</div><div>};</div><div><br></div><div>#---------------------Connections--------------------------</div><div><br></div><div>log { source(s_network_testweb01_access); destination(d_apache_access_testweb01); };</div><div>log { source(s_network_testweb01_error); destination(d_apache_error_testweb01); };</div><div>log { source(s_network_testweb01_referer); destination(d_apache_referer_testweb01); };</div></div><div><br></div><div><br></div><div>The stored log:</div><div><br></div><div>Q: Why does it store the date 3 times in every logs?</div><div><br></div><div>Jun  8 08:20:11 192.168.7.30 133 <13>1 2017-06-08T08:20:11+02:00 testweb01 - - - [meta sequenceId="24"] :1 - - [08/Jun/2017:08:20:10 +0200] "GET / HTTP/1.1" 200 3004<br></div><div><br></div><div><br></div><div>Also my client configuration:</div><div><br></div><div><div><div>#Log sources</div><div><br></div><div>source s_apache_error {</div><div>    file("/var/log/apache2/error_testweb_log" follow-freq(1));</div><div>};</div><div><br></div><div>source s_apache_access {</div><div>    file("/var/log/apache2/access_testweb_log" follow-freq(1));</div><div>};</div><div><br></div><div>source s_apache_referer {</div><div>    file("/var/log/apache2/www_referer_log" follow-freq(1));</div><div>};</div><div><br></div><div>#LOG Destination</div><div><br></div><div>destination d_network_access {</div><div>    syslog("192.168.56.48"</div><div>    transport("tcp")</div><div>    ip-protocol(4)</div><div>    port("16601")</div><div>    persist-name("testweb_access"));</div><div>};</div><div><br></div><div>destination d_network_error {</div><div>    syslog("192.168.56.48"</div><div>    transport("tcp")</div><div>    ip-protocol(4)</div><div>    port("16602")</div><div>    persist-name("testweb_error"));</div><div>};</div><div><br></div><div>destination d_network_referer {</div><div>    syslog("192.168.56.48"</div><div>    transport("tcp")</div><div>    ip-protocol(4)</div><div>    port("16603")</div><div>    persist-name("testweb_referer")); </div><div>};</div><div><br></div><div>#LOG connections</div><div><br></div><div>log { source(s_apache_access); destination(d_network_access); };</div><div>log { source(s_apache_error); destination(d_network_error); };</div><div>log { source(s_apache_referer); destination(d_network_referer); };</div></div></div><div><br></div><div><br></div><div>Thanks, Robert</div></div>