
<div dir="ltr"><div>I don't think in-list does partial matches now. But what you have there would try to look up the MESSAGE value in the noise.list file and not search DNS names in your $MESSAGE.<br><br></div>To do the latter, I am afraid you'd have to combine the DNS names into a regexp and use match() or message() to search for matches.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">-- <br>Bazsi<br></div></div></div>

<br><div class="gmail_quote">On Wed, Apr 11, 2018 at 9:08 PM, Garbacik, Joe <span dir="ltr"><<a href="mailto:Joseph.Garbacik@netapp.com" target="_blank">Joseph.Garbacik@netapp.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div link="#0563C1" vlink="#954F72" lang="EN-US">

<div class="m_8923940964546148033WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt">Can syslog-ng parse the message field for a partial match using the in-list function? For instance, I am querying DNS logs and want to filter out common domains (i.e. Microsoft.com, Redhat.com)<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt">In my list file I just have the domains, one per line and in my config file, if have the following: filter f_dns_noise_oklist { in-list("/etc/syslog-ng/lists.<wbr>d/dns_noise.list", value("MESSAGE")); }; but it

 doesn’t seem to be working. <u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><u></u> <u></u></span></p>

</div>

</div>


<br>______________________________<wbr>______________________________<wbr>__________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>

<br>

<br></blockquote></div><br></div>