<div dir="ltr">I agree on the client part, Cisco products do support sending event data off in syslog or snmp trap format but in limited detail. <div> <div>Now that I have had more time to play with it it looks like the best method would be to use an eStream client to pull data and reformat it as an input to syslog-ng.  May seem like I am pushing a square peg into a round hole but, I like using syslog-ng as a single platform for aggregating a routing our data streams.  </div></div><div><br></div><div>As you probably know syslog-ng isn;t limited to syslog data. Like the json stream solution for ELastic.co beats posted earlier I think I should be able to use on of the open source eStreamer clients to convert the NV pairs into a json input for syslog-ng. <br></div><div><br></div><div>Working with the Splunk eStreamer client written by cisco in perl but there are also a few older clients on github.  </div><div> </div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jul 30, 2017 at 4:04 PM, Scheidler, Balázs <span dir="ltr"><<a href="mailto:balazs.scheidler@balabit.com" target="_blank">balazs.scheidler@balabit.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Hi,<br><br></div>I have quickly checked out this document: <a href="http://www.cisco.com/c/en/us/td/docs/security/firesight/540/api/estreamer/EventStreamerIntegrationGuide/Protocol.html" target="_blank">http://www.cisco.com/c/en/us/<wbr>td/docs/security/firesight/<wbr>540/api/estreamer/<wbr>EventStreamerIntegrationGuide/<wbr>Protocol.html</a><br><br></div>It seems that it is a protocol that is completely independent of syslog. The connection is established in a reverse direction (e.g. the node that wants to get logs has to establish the connection), then it needs to specify the kind of messages it is interested in and then receive the messages on the same connection.<br><br></div>This probably requires a dedicated source driver in syslog-ng. I think the various language bindings would not support this, so it has to be written in C. Alternatively you can write a program that polls these messages and writes them to stdout, which then can be processed by syslog-ng.<br></div><div class="gmail_extra"><br clear="all"><div><div class="m_4255586146916833855gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">-- <br>Bazsi<br></div></div></div>
<br><div class="gmail_quote"><div><div class="h5">On Fri, Jul 28, 2017 at 9:08 PM, Scot <span dir="ltr"><<a href="mailto:scotrn@gmail.com" target="_blank">scotrn@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Has anyone looked at sending Cisco eStreamer events to syslog-ng ? <br><div><br></div><div>We have a couple Cisco Firepower management centers and I would rather use syslog-ng over sending directly to splunk so that we may use other integrations like elastic and our NMS. </div><div><br></div><div>I have the eStreamer SDK on my syslog-ng server and wondered if anyone else has worked on this. Search of the user archive says no. </div><div><br></div><div><br></div><div>Thanks </div><span class="m_4255586146916833855HOEnZb"><font color="#888888"><div>Scot</div><div><br></div></font></span></div>
<br></div></div>______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailm<wbr>an/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support<wbr>/documentation/?product=<wbr>syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/sy<wbr>slog-ng-faq</a><br>
<br>
<br></blockquote></div><br></div>
<br>______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
<br></blockquote></div><br></div>