<div dir="ltr"><div>Hi,</div><div><br></div><div>I've finally got around and checked this out. Here's what I've found:</div><div><br></div><div>* the message does not contain a hostname<br></div><div>* if I am receiving this using a normal udp() source, I can reproduce that HOST becomes ':'</div><div>* if I am using flags(no-parse) on input and the new cisco-parser() to actually decompose the message, it correctly parses it and HOST becomes the DNS resolved variant of the sender IP address.</div><div><br></div><div>I'll check what 3.5 did in this scenario.<br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">-- <br>Bazsi<br></div></div></div>
<br><div class="gmail_quote">On Mon, May 21, 2018 at 11:27 PM, Clayton Dukes <span dir="ltr"><<a href="mailto:cdukes@logzilla.net" target="_blank">cdukes@logzilla.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div link="blue" vlink="purple" lang="EN-US">
<div class="m_-2698849639217360947WordSection1">
<p class="MsoNormal">Was anyone able to figure out why this is happening?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">"Scheidler, Balázs" <<a href="mailto:balazs.scheidler@balabit.com" target="_blank">balazs.scheidler@balabit.com</a>><br>
<b>Date: </b>Tuesday, May 15, 2018 at 10:58 AM<br>
<b>To: </b>"<a href="mailto:cdukes@cdukes.com" target="_blank">cdukes@cdukes.com</a>" <<a href="mailto:cdukes@cdukes.com" target="_blank">cdukes@cdukes.com</a>><br>
<b>Cc: </b>Clayton Dukes <<a href="mailto:cdukes@logzilla.net" target="_blank">cdukes@logzilla.net</a>><br>
<b>Subject: </b>Re: Fwd: [syslog-ng] hostname not appearing correctly when receiving logs from switches<u></u><u></u></span></p>
</div><div><div class="h5">
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Thanks<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">On May 15, 2018 16:52, "Clayton Dukes" <<a href="mailto:cdukes@gmail.com" target="_blank">cdukes@gmail.com</a>> wrote:<u></u><u></u></p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<p class="MsoNormal">Making sure you got this (in case the other went to spam) <u></u>
<u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<div>
<p class="MsoNormal">______________________________<wbr>______________________________<wbr>__
<br>
<br>
Clayton Dukes<br>
______________________________<wbr>______________________________<wbr>__<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">---------- Forwarded message ----------<br>
From: <b>Clayton Dukes</b> <<a href="mailto:cdukes@logzilla.net" target="_blank">cdukes@logzilla.net</a>><br>
Date: Mon, May 7, 2018 at 4:46 PM<br>
Subject: Re: [syslog-ng] hostname not appearing correctly when receiving logs from switches<br>
To: "Scheidler, Balázs" <<a href="mailto:balazs.scheidler@balabit.com" target="_blank">balazs.scheidler@balabit.com</a>><br>
Cc: Syslog-ng users' and developers' mailing list <<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>><br>
<br>
<u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Hi Balazs,<u></u><u></u></p>
<p class="MsoNormal">Sorry for the delay, I don’t get a lot of free time these days :)<u></u><u></u></p>
<p class="MsoNormal">I have attached a pcap as well as a raw log. The log is prior to any manipulation of LogZilla rules, etc.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">This is easily reproduceable.<u></u><u></u></p>
<p class="MsoNormal">Also, if I add
<span style="font-size:10.0pt;font-family:Menlo;color:#383a42;background:#fafafa">
show-timezone</span> to the device config, the host field shows up.<u></u><u></u></p>
<p class="MsoNormal">The problem, of course, is that we can’t tell all of our customers to re-configure all of their cisco devices.<u></u><u></u></p>
<p class="MsoNormal">We have documented the work-around here (search the page for “hostname missing”):<u></u><u></u></p>
<p class="MsoNormal"><a href="http://demo.logzilla.net/help/receiving_data/cisco_ios_configuration" target="_blank">http://demo.logzilla.net/help/<wbr>receiving_data/cisco_ios_<wbr>configuration</a><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">This problem never existed before, but I am not certain which syslog-ng version it started occurring in.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">"Scheidler, Balázs" <<a href="mailto:balazs.scheidler@balabit.com" target="_blank">balazs.scheidler@balabit.com</a>><br>
<b>Date: </b>Tuesday, May 1, 2018 at 8:45 PM<br>
<b>To: </b>Clayton Dukes <<a href="mailto:cdukes@logzilla.net" target="_blank">cdukes@logzilla.net</a>><br>
<b>Cc: </b>Joshua <<a href="mailto:aces621@yahoo.com" target="_blank">aces621@yahoo.com</a>>, Syslog-ng users' and developers' mailing list <<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>><br>
<b>Subject: </b>Re: [syslog-ng] hostname not appearing correctly when receiving logs from switches</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Interesting that I saw this message the first time in your response, and not the original one.
<u></u><u></u></p>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Anyhow, to understand the problem we would need an exact byte-by-byte representation of what syslog-ng is receiving from the switch together with the configuration that is used
 to process it. A tcpdump or an "Incoming message" from syslog debug outout should work.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">We haven't intentionally changed the syslog parser as far as I remember.<u></u><u></u></p>
</div>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<p class="MsoNormal">On May 1, 2018 22:50, "Clayton Dukes" <<a href="mailto:cdukes@logzilla.net" target="_blank">cdukes@logzilla.net</a>> wrote:<u></u><u></u></p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal">Interesting! We’ve been getting a lot of support tickets for this very problem.<u></u><u></u></p>
<p class="MsoNormal">I can easily recreate the issue.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Balabit Team: is this a new bug?<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
<table class="m_-2698849639217360947MsoNormalTable" style="width:71.0%;border-collapse:collapse" cellspacing="0" cellpadding="0" border="0" width="71%">
<tbody>
<tr style="page-break-inside:avoid">
<td style="width:5.0%;padding:0in 0in 0in 0in" width="5%" valign="top">
<p class="MsoNormal"><b><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><img style="width:.5833in;height:1.875in" id="m_-2698849639217360947m_2063342502989298548m_-4890073039601798110m_-7649788740190382892Picture_x0020_4" src="cid:image001.png@01D3F129.05ADB660" alt="cid:image001.png@01D306E3.0FEBC990" height="180" border="0" width="56"></span></b><u></u><u></u></p>
</td>
<td style="padding:0in 0in 0in 0in"></td>
<td style="width:1.06%;background:#f75f1c;padding:0in 0in 0in 0in" width="1%" valign="top">
<p class="MsoNormal"><b><span style="font-size:12.0pt;font-family:"Times New Roman",serif"> </span></b><u></u><u></u></p>
</td>
<td style="padding:0in 0in 0in 0in"></td>
<td style="width:80.0%;padding:0in 5.4pt 0in 5.4pt" width="80%" valign="top">
<p class="MsoNormal"><b><span style="font-size:12.0pt;font-family:"Times New Roman",serif">Clayton Dukes</span></b><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif">Founder & CEO</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#afabab">LogZilla Corporation<br>
</span><a href="https://maps.google.com/?q=2900+N.+Quinlan+Park+Rd&entry=gmail&source=g" target="_blank"><span style="font-size:12.0pt;font-family:"Times New Roman",serif">2900 N. Quinlan Park Rd</span></a><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#afabab">,
 B240-341<br>
Austin, TX, 78732</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#afabab">Tel: 936-4NetOps (463-8677) </span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#afabab">Web:
</span><a href="http://www.logzilla.net/" target="_blank"><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#afabab">www.logzilla.net</span></a><u></u><u></u></p>
<p class="MsoNormal"><a href="https://twitter.com/logzilla" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><img style="width:.5in;height:.1145in" id="m_-2698849639217360947m_2063342502989298548m_-4890073039601798110m_-7649788740190382892Picture_x0020_3" src="cid:image002.png@01D3F129.05ADB660" alt="cid:image002.png@01D306E3.0FEBC990" height="11" border="0" width="48"></span></span></a><a href="https://youtu.be/drg5wv_mgfA" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><img style="width:.4062in;height:.1145in" id="m_-2698849639217360947m_2063342502989298548m_-4890073039601798110m_-7649788740190382892Picture_x0020_2" src="cid:image003.png@01D3F129.05ADB660" alt="cid:image003.png@01D306E3.0FEBC990" height="11" border="0" width="39"></span></span></a><a href="https://www.linkedin.com/in/lzcdukes/" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><img style="width:.4166in;height:.1145in" id="m_-2698849639217360947m_2063342502989298548m_-4890073039601798110m_-7649788740190382892Picture_x0020_1" src="cid:image004.png@01D3F129.05ADB660" alt="cid:image004.png@01D306E3.0FEBC990" height="11" border="0" width="40"></span></span></a><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
<p class="MsoNormal"><i><span style="font-size:12.0pt;font-family:"Times New Roman",serif">For NetOps, By NetOps!</span></i><u></u><u></u></p>
</td>
<td style="padding:0in 0in 0in 0in"></td>
</tr>
</tbody>
</table>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">syslog-ng <</span><a href="mailto:syslog-ng-bounces@lists.balabit.hu" target="_blank"><span style="font-size:12.0pt">syslog-ng-bounces@lists.<wbr>balabit.hu</span></a><span style="font-size:12.0pt;color:black">>
 on behalf of Joshua <</span><a href="mailto:aces621@yahoo.com" target="_blank"><span style="font-size:12.0pt">aces621@yahoo.com</span></a><span style="font-size:12.0pt;color:black">><br>
<b>Reply-To: </b>Joshua <</span><a href="mailto:aces621@yahoo.com" target="_blank"><span style="font-size:12.0pt">aces621@yahoo.com</span></a><span style="font-size:12.0pt;color:black">>, Syslog-ng users' and developers' mailing list <</span><a href="mailto:syslog-ng@lists.balabit.hu" target="_blank"><span style="font-size:12.0pt">syslog-ng@lists.balabit.hu</span></a><span style="font-size:12.0pt;color:black">><br>
<b>Date: </b>Monday, April 30, 2018 at 7:09 PM<br>
<b>To: </b>"</span><a href="mailto:syslog-ng@lists.balabit.hu" target="_blank"><span style="font-size:12.0pt">syslog-ng@lists.balabit.hu</span></a><span style="font-size:12.0pt;color:black">" <</span><a href="mailto:syslog-ng@lists.balabit.hu" target="_blank"><span style="font-size:12.0pt">syslog-ng@lists.balabit.hu</span></a><span style="font-size:12.0pt;color:black">><br>
<b>Subject: </b>[Suspected Spam] [syslog-ng] hostname not appearing correctly when receiving logs from switches</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<div>
<div>
<p class="MsoNormal"><a name="m_-2698849639217360947_m_2063342502989298548_m_-489007303960179"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">Hi All,</span></a><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">I am pretty new to syslog-ng but do have some basic knowledge. I have deployed syslog-ng v3.14 on a newly deployed
 Linux server because syslog-ng v3.5 is working very well on another syslog server. </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">On this new deployment, the syslogs received from most of the servers are able to show IP/host, however, the syslogs
 from our switches contains IP/host showing as ":" (colons). I copied the current working custom build .conf from another syslog server into our new server. Can someone help me figure out what I am missing? It is working for some components but not for switches.
 I tested the same switch by sending syslog to another syslog server and the hostname is appearing but just not appearing on the new syslog server. The only difference between the two server is that one uses v3.5 (the working one) and the other uses syslog-ng
 v3.14.</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">I have set: "keep_hostname (yes)" but it still doesn't work.</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">Can someone please help? Am I missing something here?</span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif"> </span><u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Times New Roman",serif">Thanks</span><u></u><u></u></p>
</div>
<div>
<div>
<p class="MsoNormal"><em><b><u><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#00407f">Joshua Lai</span></u></b></em><em><b><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#00407f"> </span></b></em><u></u><u></u></p>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank">
https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank">
http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
<u></u><u></u></p>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div></div></div>
</div>

</blockquote></div><br></div>