<div dir="ltr"><div dir="ltr"><div>Also, check out the default-network-drivers() logic. You might not need the whole stuff, but it's good to get ideas from.</div><div><br></div><div>It opens all relevant ports and processes both rfc3164/rfc5424 and cisco traffic properly.</div><div><br></div><div>It is here: <a href="https://github.com/balabit/syslog-ng/blob/master/scl/default-network-drivers/plugin.conf">https://github.com/balabit/syslog-ng/blob/master/scl/default-network-drivers/plugin.conf</a></div><div><br></div><div>default-network-drivers() can be extended using parsers automatically, so that you only have a static configuration, and application adapters that get deployed later on.</div><div><br></div><div>Bazsi<br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 24, 2019 at 4:30 PM Evan Rempel <<a href="mailto:erempel@uvic.ca">erempel@uvic.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF">
    <div class="gmail-m_228763958834672485moz-cite-prefix">Yes, there is a flag "syslog-protocol"
      that will allow this. The rfc5124 only applies to TCP, so the flag</div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">is only on the tcp source.<br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">Our configuration for the source is</div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">source s_network_udp {<br>
              network(localip(1.2.3.4) port(514) so_rcvbuf(33554432)
      log_fetch_limit(20000) log_iw_size(1000000) transport("udp")
      tags("unix_network") flags(no-multi-line) );<br>
              };<br>
      source s_network_tcp {<br>
              network(localip(1.2.3.4) port(514) max_connections(5000)
      log_fetch_limit(20000) log_iw_size(1000000) transport("tcp")
      flags(no-multi-line,syslog-protocol) tags("unix_network") );<br>
              };<br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">Hope that helps.</div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">Evan.<br>
    </div>
    <br>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix"><br>
    </div>
    <div class="gmail-m_228763958834672485moz-cite-prefix">On 2/23/19 5:07 PM, Carlan Philippe
      wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div class="gmail-m_228763958834672485yahoo-style-wrap" style="font-family:Helvetica Neue,Helvetica,Arial,sans-serif;font-size:13px">
        <div>Hi all, </div>
        <div><br>
        </div>
        <div>Is there a way to configure syslog-ng to process properly
          both <span>RFC3164 and RFC5124 on the same listening port ? </span></div>
        <div><br>
        </div>
        <div>The scenario is a bunch of devices sending traffic to one 
          syslog server port (both udp + tcp) with the senders typically
          not knowing what protocol they are sending. </div>
        <div><br>
        </div>
        <div>We are running syslog-ng 3.13 with this setup: </div>
        <div><br>
        </div>
        <div>source s_syslog { udp(ip(0.0.0.0) port(514)) ; </div>
        <div>                             tcp(ip(0.0.0.0)  port(514)); }</div>
        <div><br>
        </div>
        <div><br>
        </div>
        <div> If needed we could upgrade syslog-ng to 3.19.1 but having
          checked the doc for 3.19, it seems that the solution would be
          to create 2 source entries, 1 for RFC3164 with network() and 1
          for RFC5124 with  syslog().  Neverthless, these 2 sources
          would have to listen on *different* ports and that is the
          problem for us.</div>
        <div><br>
        </div>
        <div>Note that we also have an identical issue with cisco
          traffic, since it's not RFC compliant, syslog-ng adds
          automatically a header with  timestamp and hostname. </div>
      </div>
    </blockquote>
    <br>
  </div>

______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>