<div dir="ltr"><div>Hi,</div><div><br></div><div>the syslog messages contain a $HOST field, which relates to the hostname they are posted by. Not all OSes fill this field, in that case syslog-ng attempts to do a reverse-DNS lookup.</div><div><br></div><div>In cases where a log message travels multiple hops (e.g. multiple relays) and where the $HOST field is not kept in-tact, this information can be lost.</div><div><br></div><div>also, syslog-ng (at least recent releases) can optionally keep  an internal table of counters, which contain host specific counters at stats-level(2) or stats-level(3), I can't remember which.<br></div><div><br></div><div>Bazsi<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jul 3, 2018 at 2:38 PM, Amin, Jitesh CTR DISA JSP (US) <span dir="ltr"><<a href="mailto:jitesh.amin.ctr@mail.mil" target="_blank">jitesh.amin.ctr@mail.mil</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="#0563C1" vlink="#954F72" lang="EN-US"><div class="m_5206048337323996527WordSection1"><p>CLASSIFICATION: UNCLASSIFIED<u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Hello,<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">We have multiple servers running syslog. By looking at the syslong.conf file we can identify where the syslog servers are forwarding the data to.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">But what we really want to know is what all sources are writing their logs to our syslog servers. Is there a way for us to look somewhere within syslog configuration and find out which all systems are forwarding/writing logs to a specific syslog server?<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Thanks<u></u><u></u></span></p><p><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Jitesh Amin</span>CLASSIFICATION: UNCLASSIFIED<u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p></div></div><br>______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
<br></blockquote></div><br></div>