<div dir="auto">Iptables by default submit kernel logs via printk() and I am not sure that is namespace aware, I am assuming that its not.<div dir="auto"><br></div><div dir="auto">You are probably receiving these messages via the system source, which opens /proc/kmsg (or /dev/kmsg).</div><div dir="auto"><br></div><div dir="auto">Heres a related article:</div><div dir="auto"><br></div><div dir="auto"><a href="https://github.com/lxc/lxd/issues/1397">https://github.com/lxc/lxd/issues/1397</a><br></div><div dir="auto"><br></div><div dir="auto">For now the best course of action is to disable kernel logs in the guest and rely on the host to collect them.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Jan 3, 2018 05:26,  <<a href="mailto:webman@manfbraun.de" target="_blank">webman@manfbraun.de</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
It's the first time, that I use syslog-ng (although the<br>
plan ist old - due to the ability to use rabbitmq ...).<br>
<br>
The host (which is a VM too - do not know exactly which type)<br>
has the normal rsyslog installed (was "shipped" with it<br>
and not directly of my interest - so I kept it).<br>
<br>
What I am getting from the host are kernel messages<br>
generated from iptables logging - I know the log prefix.<br>
The guest has just now no iptables rules at all, but<br>
a running ulog2, which (no iptables rules at the<br>
moment) just runs, but has nothing to log and messages<br>
continue to arrive, after I've stopped it. I had<br>
a reboot in between, just to be sure, iptables has<br>
not something in its memory.<br>
<br>
There is a bridge to the host and the outside. While<br>
the iptables rules were active, I blocked port 514,<br>
but this does not change anything. As told, the messages<br>
now continue, even iptables has no active rules.<br>
A tcpdump inside the lxc guest does not show packages<br>
on port 514. BTW, the messages are logged with the<br>
hostname of the guest.<br>
<br>
syslog-ng uses the standards for it input (system, internal).<br>
<br>
Probably someone could shed some light on it. It is<br>
nothing more worrying, then messages from unknown<br>
source!<br>
<br>
Thanks anyway and best regards,<br>
Manfred<br>
<br>
<br>
<br>
<br>
______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
</blockquote></div></div>