<div dir="ltr">So I made the changes to syslog-ng config for graylog destination configuration and started the debug mode again hopped on another terminal and ran logger command with a test message but I still see nothing getting into my graylog server.  I am uploading the debug file again to see if there is something I am missing. On my graylog side. I have inputs setup Syslog I have Gelf input setup as well</div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 14, 2018 at 1:31 PM PÁSZTOR György <<a href="mailto:pasztor@linux.gyakg.u-szeged.hu">pasztor@linux.gyakg.u-szeged.hu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I took a look at your debug bundle.<br>
<br>
As far as I see the pcap file, tcp communication happens, but it's not<br>
graylog's "protocol", it's the legacy rfc3164.<br>
Unless graylog expecting legacy protocol, that's not correct.<br>
Then I spotted this:<br>
<br>
"Rodney Bizzell" <<a href="mailto:hardworker30@gmail.com" target="_blank">hardworker30@gmail.com</a>> írta 2018-11-12 14:59-kor:<br>
> destination d_graylog {<br>
> tcp("hostname of Graylog server"<br>
> port (12201)<br>
> );<br>
> };<br>
<br>
This configures a legacy tcp destination. It won't format the messages for<br>
gelf.<br>
At least in case of graylog, the best choice for protocol would be gelf.<br>
The correct configuration for gelf destination would be:<br>
destination d_graylog {<br>
  graylog2( host("hostname of Graylog server") );<br>
};<br>
<br>
Or if you want something more detailed or specific stuff, then you can use<br>
this:<br>
destination d_graylog {<br>
  network(<br>
    "hostname of Graylog server"<br>
    port(12201)<br>
    transport(tcp)<br>
    template("$(format-json --scope all-nv-pairs)\n")<br>
  );<br>
};<br>
<br>
Of course, if gelf destination expects zero terminated strings, than you<br>
can replace the \n to \0 at the end of the template string.<br>
<br>
Regards,<br>
Gyu<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>