<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";

        mso-fareast-language:EN-US;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Texte de bulles Car";

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";

        mso-fareast-language:EN-US;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Arial","sans-serif";

        color:windowtext;

        font-weight:normal;

        font-style:normal;}

span.TextedebullesCar

        {mso-style-name:"Texte de bulles Car";

        mso-style-priority:99;

        mso-style-link:"Texte de bulles";

        font-family:"Tahoma","sans-serif";}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";

        mso-fareast-language:EN-US;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 70.85pt 70.85pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="FR" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Hi,<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">I experience a pb with the syslog-ng relay that is used in this way:<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Syslog-relay gather syslog network messages from different sources (legacy RFC 3164 msg )  and send these messages to a central syslog server.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">The central Syslog server accepts only message with a strict format:only value in green can be modified.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><174>1

<b><span style="background:lime;mso-highlight:lime">time_Norme_ISO8601 fqdn</span></b> syslog-ng 007 - [meta sequenceid=<span style="background:lime;mso-highlight:lime">xxxx</span>][bbtlog@1009 bias="titi" platform="prod" produit="ppup" logfile="rtlog.sta"

 rtlog-river="rtl"]  <span style="background:lime;mso-highlight:lime">Message</span><o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">With success, I managed to write and modify incoming messages and store them locally in log files with the awaited server format.

<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">I used filters, rewrite_set to change the hostname and template to format the received message to the expected format.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">We don’t use meta sequenceid, so we decided to write a non variant value 0000.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">template("<174>1 ${ISODATE} ${HOST} syslog-ng 007 - [meta sequenceid=”0000”] [bblog@1009…] ${MSG}\n");<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Now, the deal is to transfer the new line of the log file to the central syslog server.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">I use a “source” tail file to send the new messages and one new syslog remote destination to redirect the message to the syslog server<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Here is the message as depicted in TCPDUMP:

<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">inpavlog1i-ad.62163 > 10.114.181.43.syslog: SYSLOG, length: 379<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">        Facility local5 (21), Severity info (6)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">        Msg: 1 2017-11-29T10:17:57+01:00 inxipmgt.creteil.francetelecom.fr syslog-ng 007 -

<b><span style="background:yellow;mso-highlight:yellow">[meta sequenceId="1" sequencid="0000"]</span></b>[rtlog@1368 basicat="xip" platform="prod" produit="pexip" logfile="rtlog.sta" rtlog-river="rtl"] 10:17:57,686 Level="INFO" Name="administrator.system.configuration"

 Message="Conferencing node configuration updated." Node="conf02.int.ovp.orange-business.com"\0x0a<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">So I have an issue with the field [meta sequenceid…] which automatically doubled/added to the previous…(0000) .<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">If I modify the template by deleting the field [meta sequenceid=”0000”],<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">template("<174>1 ${ISODATE} ${HOST} syslog-ng 007 -  [bblog@1009…] ${MSG}\n");<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">The result is so that the syslogng-relay add the

<b>[meta sequenceId="xxxx"] </b>after the first meta sequence field and write the message with an upper case “I” .<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">This is not accepted by the central server. I suspect also that the location in the frame could have an impact.<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Here is the tcpdump:<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">inpavlog1i-ad.62163 > 10.114.181.43.syslog: SYSLOG, length: 379<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">        Facility local5 (21), Severity info (6)<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">        Msg: 1 2017-11-29T10:17:57+01:00 inxipmgt.creteil.francetelecom.fr syslog-ng 007 - [rtlog@1368 basicat="xip" platform="prod" produit="pexip" logfile="rtlog.sta"

 rtlog-river="rtl<span style="background:yellow;mso-highlight:yellow">"]<b>[meta sequenceId="1"]</b></span> 10:17:57,686 Level="INFO" Name="administrator.system.configuration" Message="Conferencing node configuration updated." Node="conf02.int.ovp.orange-business.com"\0x0a<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">As I don’t use this meta field, is it possible to configure syslog-ng relay not add automatically this field

<b>[meta sequenceId="XX"] </b>or to delete it with a command?<b><o:p></o:p></b></span></p>

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></b></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Regards

<o:p></o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.0pt;font-family:"Arial","sans-serif"">Alain<o:p></o:p></span></p>

<p class="MsoNormal" style="line-height:15.0pt"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:FR"> <o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<PRE>_________________________________________________________________________________________________________________________

Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc

pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler

a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,

Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.

This message and its attachments may contain confidential or privileged information that may be protected by law;

they should not be distributed, used or copied without authorisation.

If you have received this email in error, please notify the sender and delete this message and its attachments.

As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.

Thank you.

</PRE></body>

</html>