<div dir="ltr"><div><div>I am trying to configure syslog-ng to send multiple json formatted logs to a rabbitmq endpoint.<br><br></div>The consumer for the logs checks for a particular field to determine the type of log it is. <br></div>However,
 I can't seem to figure out how to send all the different logs as the 
field it checks is "source" that I add using --pair within the 
format-json template<br><br><div style="color:rgb(212,212,212);background-color:rgb(30,30,30);font-family:Menlo,Monaco,"Courier New",monospace;font-weight:normal;font-size:12px;line-height:18px;white-space:pre-wrap"><div><span style="color:rgb(212,212,212)">destination d_amqp_ssh {</span></div><div><span style="color:rgb(212,212,212)">    amqp(</span></div><div><span style="color:rgb(212,212,212)">        vhost(</span><span style="color:rgb(206,145,120)">"/"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        host(</span><span style="color:rgb(206,145,120)">"<a href="http://mozdefqa2.private.scl3.mozilla.com" target="_blank">mozdefqa2.private.scl3.<wbr>mozilla.com</a>"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        port(5672)</span></div><div><span style="color:rgb(212,212,212)">        exchange(</span><span style="color:rgb(206,145,120)">"eventtask"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        exchange-type(</span><span style="color:rgb(206,145,120)">"direct"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        routing-key(</span><span style="color:rgb(206,145,120)">"eventtask"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        body(</span><span style="color:rgb(206,145,120)">"$(format-json --scope nv_pairs --pair category=\"</span><span style="color:rgb(212,212,212)">bro\</span><span style="color:rgb(206,145,120)">" --pair source=\"ssh\" --pair customendpoint=\"</span><span style="color:rgb(212,212,212)"> \</span><span style="color:rgb(206,145,120)">" --pair tags=\"</span><span style="color:rgb(212,212,212)">bro\</span><span style="color:rgb(206,145,120)">")"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        persistent(no)</span></div><div><span style="color:rgb(212,212,212)">        username(</span><span style="color:rgb(206,145,120)">"guest"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">        password(</span><span style="color:rgb(206,145,120)">"guest"</span><span style="color:rgb(212,212,212)">)</span></div><div><span style="color:rgb(212,212,212)">    )</span><span style="color:rgb(96,139,78)">;</span></div><div><span style="color:rgb(212,212,212)">}</span><span style="color:rgb(96,139,78)">;</span></div></div><div><br></div><div>So
 I added another destination with the name d_amqp_conn and it's source 
field value is "conn" and the amqp endpoint is the same host as the ssh 
log.<br></div><div><br></div><div>But syslog-ng fails to start with this particular setup. It seems to not like having more than one amqp destination.</div><div><br></div>How would something like this typically be solved?<br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div>Alicia Smith<br></div><div>@phrozyn<br>Information Security Engineer<br></div><div><a href="mailto:asmith@mozilla.com" target="_blank">asmith@mozilla.com</a><br><br></div></div></div></div></div></div></div></div>
</div>