<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 21, 2018 at 9:58 AM, Fabien Wernli <span dir="ltr"><<a href="mailto:wernli@in2p3.fr" target="_blank">wernli@in2p3.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On Wed, Mar 21, 2018 at 09:46:32AM -0400, Asif Iqbal wrote:<br>
> My client hostname is svl-search-01 and its IP resolves to svl-remote-01.<br>
> Its syslogs do not have any PRI or hostname in HOST field.<br>
><br>
> I like to have svl-search-01 in the HOST field.<br>
<br>
</span>In that case the only sensible options are:<br>
<br>
* upgrade & use add-contextual-dat<br>
<br>
  or<br>
<br>
* use /etc/hosts and keep-hostname(no)<br>
<br></blockquote><div><br></div><div>I noticed if I have mutiple source files I only get logs from the last source only. Does that make sense?</div><div><br></div><div>source s_sys {</div><div>        file ("/proc/kmsg" program_override("kernel: "));</div><div>    system();</div><div>    internal();</div><div>    udp(ip(0.0.0.0) port(514));</div><div>};</div><div><br></div><div>source s_udp { udp(ip(0.0.0.0) port(514)); };</div><div><br></div><div>source s_alarm { udp( ip(0.0.0.0)  port(514) use_dns(persist_only) ); };<br></div><div><br></div><div>log { source(s_sys); filter(f_ciena); destination(d_ciena); };<br></div><div>log { source(s_alarm); filter(f_alarm); destination(d_alarm); };<br></div><div><br></div><div>As soon as I commented all the other sources and only kept the s_sys, I started getting logs again from</div><div>those routers.</div><div><br></div><div><br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Asif Iqbal<br>PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu" target="_blank">pgp.mit.edu</a><br>A: Because it messes up the order in which people normally read text.<br>Q: Why is top-posting such a bad thing?<br><br></div>
</div></div>