<div dir="ltr">Hi,<div><br></div><div><span style="font-size:small;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><div><span style="font-size:small;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><span style="text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">What would an example message look like?<br>2018-07-24T16:12:20+02:00 WAN(11) Connection: Wan link down.</span></span></div><div>What kind of source driver do you use in your configuration?</div><div><span style="font-size:small;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><br></span></div><div><span style="font-size:small;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">I have one idea only:</span></div><div><span style="font-size:small;text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">- don't use HOST field, but HOST_FROM if the separate messages are coming from different hosts and not from a relay.</span></div><div><br></div><div>I see it is similar to Fabien's.</div><div><br></div><div>Regards,<br>Gabor</div></span></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Jul 27, 2018 at 1:03 PM Fabien Wernli <<a href="mailto:wernli@in2p3.fr">wernli@in2p3.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
On Fri, Jul 27, 2018 at 11:55:42AM +0200, <a href="mailto:freebsd@tango.lu" target="_blank">freebsd@tango.lu</a> wrote:<br>
> How do I force all the logs into one logfile for this one specific host?<br>
> If possible I don't want to change my current rules just extend them.<br>
<br>
You could use the SOURCEIP macro or the netmask filter.<br>
There are multiple ways to achieve what you ask, many depending on the<br>
syslog-ng version you use and on your config. The most compatible way to do<br>
it is probably using a separate log path:<br>
<br>
    log {<br>
      source(s_syslog);<br>
      filter {<br>
        netmask(<a href="http://10.0.0.1/32" rel="noreferrer" target="_blank">10.0.0.1/32</a>)<br>
      };<br>
      destination(d_net_some_host);<br>
      flags(final);<br>
    };<br>
<br>
Notice the "final" flag which makes sure the message won't make it to other<br>
log paths.<br>
<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>