<div dir="ltr">Hi,<div><br></div><div>Okay, I added the the tags to the sources, and its getting transferred to the server:</div><div><br></div><div>Client:</div><div><div>source s_access {.</div><div>    pipe("/var/log/apache2/pipe_access.log"</div><div>    tags("acc001"));</div><div>};</div></div><div><br></div><div><div>destination d_network_def_apache {</div><div>    syslog("172.128.83.90"</div><div>    transport("tcp")</div><div>    ip-protocol(4)</div><div>    port("16602")</div><div>    persist-name("to_syslogng_def_apache")</div><div>    template("${MESSAGE} ${TAGS}\n"));</div><div>};</div></div><div><br></div><div>I sat up the server like this:</div><div><div>filter apache_access {</div><div>    tags("acc001")</div><div>};</div></div><div><br></div><div><div>log {</div><div>    source(s_network);</div><div>    filter(apache_access);</div><div>    destination(d_apache_access);</div><div>};</div></div><div><br></div><div>Nothing in the logs :S</div><div><br></div><div><br></div><div>I can see via tcpdump this: </div><div>${MESSAGE} part and then the configured ${TAGS} which is: acc001,.source.s_access</div><div><br></div><div>But the filter doesnt work on the server side.</div><div><br></div><div>Why does it logs the fsouorce name and why doenst find the TAG?</div><div><br></div><div>Thanks,</div><div>Robert</div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-06-19 15:15 GMT+02:00 Fabien Wernli <span dir="ltr"><<a href="mailto:wernli@in2p3.fr" target="_blank">wernli@in2p3.fr</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span class=""><br>
On Mon, Jun 19, 2017 at 01:55:51PM +0200, Sandbox wrote:<br>
> I would like to transfer/store apache logs, but for some reason i cant tag<br>
> them:<br>
<br>
</span>Tags are available internally in the $TAGS macro.<br>
Tags are not implicitly sent over when using the syslog protocol, unless you<br>
explicitly instruct syslog-ng to do so.<br>
<br>
Try adding the $TAGS macro to your template, or add a .SDATA prefix if<br>
you're using RFC5424<br>
<br>
______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
</blockquote></div><br></div>