<span style="font-family: Arial; font-size: 13px;">Many Thanks for your reply. As in my original message, the stub config that I am using to test is indicated, so yes unix-dgram("/dev/log")<span style="font-family:Arial;font-size:13px"></span> is there. In the original config I have both the unix-dgram("/dev/log")<span style="font-family:Arial;font-size:13px"></span> and file("/dev/klog" follow-freq(0) program_override("kernel: ") flags(no-parse)) but still no logs.<br><br>You pointed me to the OBSD syslogd man page but it is unclear how syslogd affects the syslog-ng software, syslogd is disabled on the system(s). The syslog-ng is stand-alone, it only collects "localhost" logs which are check-summed and backed-up on a regular basis. There is no udp involved.<br><br>The problem does not occur on some older OBSD releases. In an effort to test this with a newer OBSD, I set up a OBSD 5.5 VM with syslog-ng 3.4.7 and it works perfect, as it does with 4.[8-9]. The same config file was used on each of the servers with only minor changes. Maybe I will have to set up OBSD 5.[6-9] VMs to find out exactly when things changed.<br><br>Cheers,<br>Chris<br><br><br>On 27/11/2017 at 1:21 PM, "Scot" <scotrn@gmail.com> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><div dir="ltr">Try /dev/log or /dev/klog ? <br><a target="_blank" href="https://man.openbsd.org/syslogd.8" onclick="window.open('https://man.openbsd.org/syslogd.8');return false;">https://man.openbsd.org/syslogd.8</a><br><b class="gmail-Nm" title="Nm" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">syslogd</b><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"> opens a UDP socket, as specified in </span><i class="gmail-Pa" title="Pa" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">/etc/services</i><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">, for sending forwarded messages. By default all incoming data on this socket is discarded. If insecure mode is switched on with </span><b class="gmail-Fl" title="Fl" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">-u</b><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">, it will also read messages from the socket. </span><b class="gmail-Nm" title="Nm" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">syslogd</b><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"> also opens and reads messages from the </span><span class="gmail-Ux" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">UNIX</span><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">-domain socket </span><i class="gmail-Pa" title="Pa" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">/dev/log</i><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">, and from the special device </span><i class="gmail-Pa" title="Pa" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;">/dev/klog</i><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"> (to read kernel messages), and from </span><a class="gmail-Xr" title="Xr" style="clear:both;font-family:Helvetica,Arial,sans-serif;font-size:medium;" target="_blank" href="https://man.openbsd.org/sendsyslog.2" onclick="window.open('https://man.openbsd.org/sendsyslog.2');return false;">sendsyslog(2)</a><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"> (to read messages from userland processes).</span><div class="gmail-Pp" style="clear:both;color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;margin:1ex 0;"></div><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"></span><div><span style="color:#000;font-family:Helvetica,Arial,sans-serif;font-size:medium;"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 22, 2017 at 6:49 AM,  <span dir="ltr"><<a>buckingham@nym.hush.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;margin:0 0 0 .8ex;"><span style="font-family:Arial;font-size:13px;">Hello forum members,<br><br>Having spent a couple of 
weeks on this problem I thought someone might be able to help getting 
syslog-ng 3.9.1 to write log files on
 OpenBSD 6.2.<br><br>The O/S was a fresh install, then syslog-ng and lastly 
BIND. No other packages except syslog-ng and BIND dependencies have been
 installed. No binaries or libs from BIND conflict or replace any from 
the syslog-ng installation.<br>
<br>
The .conf file was copied over from an older OpenBSD system, also running an
 older WORKING syslog-ng (3.1.1). The required changes to the .conf were made so 
that syslog-ng 3.9.1 with supervisor starts and remains running. By killing 
the syslog-ng process I was able to test that the supervisor process 
restarts syslog-ng. The rc.d script starts, stops and restarts syslog-ng
 as expected. /usr/local/sbin/syslog-ng -s returns no errors, indicating
 that the config file is sane.<br><br>In /var/log the only thing it 
writes are syslog-ng start/stop messages. In an effort to localise the 
problem, a stub syslog-ng.conf was created with the following contents:<br><pre class="m_5656134230218493989alt2" dir="ltr" style="border:1px inset;width:auto;height:162px;text-align:left;overflow:auto;margin:0;padding:6px;">@version: 3.9.1
source s_local {
        unix-dgram("/dev/log");
        };
#
destination catchall { file(/var/log/catchall); };
log { source(s_local);  destination(catchall);  };</pre><br>The 
permissions and ownership on /var, /var/log, /var/run, and /etc are 
correct according to the OpenBSD /etc/mtree/special file.  Syslog-ng starts retaining 
root permissions (default) and creates /dev/log if it does not 
exist. The syslog_ng_flags I use are:<br><pre class="m_5656134230218493989alt2" dir="ltr" style="border:1px inset;width:auto;height:34px;text-align:left;overflow:auto;margin:0;padding:6px;">"-R /var/run/syslog_ng.persist -c /var/run/syslog_ng.ctl -p /var/run/syslog_ng.pid"</pre>Have tried running without any flags to see if that would help, but did not help.<br><br>The output of syslog-ng -V is:<br><pre class="m_5656134230218493989alt2" dir="ltr" style="border:1px inset;width:auto;height:226px;text-align:left;overflow:auto;margin:0;padding:6px;">syslog-ng 3.9.1
Installer-Version: 3.9.1
Revision:
Module-Directory: /usr/local/lib/syslog-ng
Module-Path: /usr/local/lib/syslog-ng
Available-Modules: affile,afprog,afsocket,afsql,afuser,basicfuncs,cef,confgen,cryptofuncs,csvparser,curl,date,dbparser,disk-buffer,geoip-plugin,graphite,kvformat,linux-kmsg-format,pseudofile,system-source,add-contextual-data,json-plugin,syslogformat
Enable-Debug: off
Enable-GProf: off
Enable-Memtrace: off
Enable-IPv6: on
Enable-Spoof-Source: off
Enable-TCP-Wrapper: off
Enable-Linux-Caps: off</pre><br>On my hunt I foud a message on NARKIVE where a user was having the same 
problem with syslog-ng 3.6 on OpenBSD 5.9, there was no solution. There 
was a reply saying: "With the changes in 5.6 using sendsyslog(2), only 
syslogd picks up local syslog. Search the openbsd-ports list for 
syslog-ng to see some comments on it.".<br><br> After a further search I turned up 
nothing that would help.<br><br>Have also tried to compile syslog-ng 3.12 from source to see if that might help solve the problem, but no success on OpenBSD.<br>
<br>
Many thanks in advance.<br>
CB<br></span><br>______________________________________________________________________________<br>
Member info: <a target="_blank" href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" onclick="window.open('https://lists.balabit.hu/mailman/listinfo/syslog-ng');return false;">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a target="_blank" href="http://www.balabit.com/support/documentation/?product=syslog-ng" onclick="window.open('http://www.balabit.com/support/documentation/?product=syslog-ng');return false;">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a target="_blank" href="http://www.balabit.com/wiki/syslog-ng-faq" onclick="window.open('http://www.balabit.com/wiki/syslog-ng-faq');return false;">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
<br></blockquote></div><br></div></blockquote></span>