<div dir="ltr"><div><div>Hi,<br></div><br></div>If you use syslog-ng 3.10 you can give the cisco parser a try: <a href="https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html-single/index.html#cisco-parser">https://www.balabit.com/sites/default/files/documents/syslog-ng-ose-latest-guides/en/syslog-ng-ose-guide-admin/html-single/index.html#cisco-parser</a> It parses Cisco log messages (at least a good part of them) and creates name-value pairs from them.<br><div><br>If 3.10 is not an option for you, first I'd check if the PROGRAM macro really contains the information you are looking for. I usually do that using the format-json template with "--scope everything". It gives a lot more information than necessary, but still the quickest way to figure it out.<br><br>Or even better: use the Cisco parser for hints how to parse necessary information from logs. It is actually configuration snippet (SCL) and you can browse it on-line: <a href="https://github.com/balabit/syslog-ng/blob/master/scl/cisco/plugin.conf">https://github.com/balabit/syslog-ng/blob/master/scl/cisco/plugin.conf</a><br><br></div><div>Bye,<br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peter Czanik (CzP) <<a href="mailto:peter.czanik@balabit.com" target="_blank">peter.czanik@balabit.com</a>><br>Balabit / syslog-ng upstream<br><a href="https://www.balabit.com/blog/author/peterczanik/" target="_blank">https://www.balabit.com/blog/author/peterczanik/</a><br><a href="https://twitter.com/PCzanik" target="_blank">https://twitter.com/PCzanik</a></div></div></div></div>

<br><div class="gmail_quote">On Thu, Jul 13, 2017 at 4:07 PM, Damian Bell <span dir="ltr"><<a href="mailto:Damian.Bell@clarksons.com" target="_blank">Damian.Bell@clarksons.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div link="#0563C1" vlink="#954F72" lang="EN-GB">

<br>

<div class="m_6626295155409041317WordSection1">

<p class="MsoNormal">Hello, <u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I’ve previously had a very simple regex list configured for Cisco ASA devices to deliver email alerts on routing changes in our network, which was configured thus:-

<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">filter f_sev1 { match("%ASA-3-622001"); };<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">…which works just fine. Wanting to expand this list a bit, and aware that scaling regex matching up is going to incur performance issues, I’ve thought that an “in-list” expression file might have been a better approach, and as such have

 configured the following:- <u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">filter f_sev1 { in-list("/etc/syslog-ng/email-<wbr>match-list.list", value("PROGRAM")); };<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">…where “PROGRAM” is (I believe) the applicable part of the code that matches to the Cisco "%ASA-3-622001" part of the message. The whitelist has the following entries (as an example):-

<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">%DUAL-5-NBRCHANGE<u></u><u></u></p>

<p class="MsoNormal">%ASA-3-622001<u></u><u></u></p>

<p class="MsoNormal">%SPANTREE-5-TOPOTRAP<u></u><u></u></p>

<p class="MsoNormal">%SPANTREE-5-ROOTCHANGE<u></u><u></u></p>

<p class="MsoNormal">%ASA-5-111010<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I am not getting any matches here, however. What am I missing?<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Thanks very much in advance, <u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Damian <u></u><u></u></p>

</div>

<br>

<br>

<table class="m_6626295155409041317ImprintUniqueIDTable" style="BORDER-COLLAPSE:collapse;WIDTH:100%" cellspacing="0" cellpadding="0" border="0">

<tbody>

<tr>

<td><font style="font-family:Calibri;font-size:10pt;color:#1c3048;font-weight:bold">Damian</font> <font style="font-family:Calibri;font-size:10pt;color:#1c3048;font-weight:bold">Bell</font><br>

<font style="font-family:Calibri;font-size:10pt;color:#595959">Infrastructure Engineer</font><font style="font-family:Calibri;font-size:10pt;color:#595959"> |

</font><font style="font-family:Calibri;font-size:10pt;color:#595959">Support</font><font style="font-family:Calibri;font-size:10pt;color:#595959"> |

</font><font style="font-family:Calibri;font-size:10pt;color:#595959">H Clarkson & Co Ltd</font></td>

</tr>

<tr>

<td><font style="font-family:Calibri;font-size:10pt;color:#595959">T: </font><font style="font-family:Calibri;font-size:10pt;color:#595959"><a href="tel:+44%2020%207334%205483" value="+442073345483" target="_blank">+44 20 7334 5483</a></font><br>

<font style="font-family:Calibri;font-size:10pt;color:#404040">Email: </font><span style="font-family:Calibri;font-size:10pt;color:#0070c0"><a href="mailto:Damian.Bell@clarksons.com" title="Click to send email to Damian Bell" style="font-family:Calibri;font-size:10pt;color:#0070c0" target="_blank"><span style="font-family:Calibri;font-size:10pt;color:#0070c0">Damian.Bell@clarksons.com</span></a></span><br>

<font style="font-family:Calibri;font-size:10pt;color:#595959"><font style="font-family:Calibri;font-size:10pt;color:#595959">Group Email:

</font></font><font style="font-family:calibri;font-size:10pt;color:#0070c0"><a href="mailto:infrastructure@clarksons.com" target="_blank">infrastructure@clarksons.com</a></font><br>

</td>

</tr>

<tr>

<td style="HEIGHT:57px;PADDING-TOP:15px"><font style="font-family:Calibri;font-size:16pt;color:#1c3048"><font style="font-family:Calibri;font-size:16pt;color:#1c3048">Clarksons Platou</font></font><font style="font-family:Calibri;font-size:10pt;color:#1c3048"><font style="font-family:Calibri;font-size:10pt;color:#1c3048">

  TM</font></font><br>

<font style="font-family:Calibri;font-size:10pt;color:#595959">Commodity Quay, St. Katharine Docks</font><font style="font-family:Calibri;font-size:10pt;color:#595959"> |

</font><font style="font-family:Calibri;font-size:10pt;color:#595959">London</font><font style="font-family:Calibri;font-size:10pt;color:#595959">

</font><font style="font-family:Calibri;font-size:10pt;color:#595959">E1W 1BF</font><font style="font-family:Calibri;font-size:10pt;color:#595959"> |

</font><font style="font-family:Calibri;font-size:10pt;color:#595959">United Kingdom</font><br>

<span style="font-family:Calibri;font-size:10pt;color:#0070c0"><a href="http://www.clarksons.com" title="" style="font-family:Calibri;font-size:10pt;color:#0070c0" target="_blank"><span style="font-family:Calibri;font-size:10pt;color:#0070c0">www.clarksons.com</span></a></span></td>

</tr>

<tr>

<td style="HEIGHT:31px"><font style="font-family:Calibri;font-size:8pt;color:#00863d"><font style="font-family:Calibri;font-size:8pt;color:#00863d">Please consider the environment before printing this e-mail</font></font></td>

</tr>

<tr>

<td style="HEIGHT:25px;PADDING-TOP:10px"></td>

</tr>

</tbody>

</table>

<br>

<br>

<p class="m_6626295155409041317ImprintUniqueID"><font size="1"></font></p>

<hr>

<font size="1" face="Microsoft Sans Serif">This message is private and confidential. If you have received it in error, you are on notice of its status. Please notify us immediately by reply email and then delete this message from your system. Please

 do not copy it or use it for any purposes, or disclose its contents to any other person: to do so could be a breach of confidence.<br>

<br>

</font><font size="1" face="Microsoft Sans Serif">Emails may be monitored.<br>

<br>

Details of Clarkson group companies and their regulators (where applicable) can be found at this url:

</font><a title="Disclosure" href="http://www.clarksons.com/disclosure/" target="_blank"><font size="1" face="Microsoft Sans Serif">Disclosure</font></a>

<hr>

<p></p>

</div>

<br>______________________________<wbr>______________________________<wbr>__________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>

<br>

<br></blockquote></div><br></div>