<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello Nathan!<div><br></div><div>This topic is also discussed in:</div><div><a href="https://lists.balabit.hu/pipermail/syslog-ng/2019-February/025068.html">https://lists.balabit.hu/pipermail/syslog-ng/2019-February/025068.html</a><br></div><div><br></div><div>You can't avoid having 2 sources, as udp and tcp would need 2 different drivers.</div><div>However, you can use 1 driver for TCP messages both RFC3164 and RFC5424 if you use network() driver with flags(syslog-protocol).</div><div><br></div><div>The question is how are the RFC5424 logs are sent over, if they are send according to RFC6587 (as syslog() destination driver uses), they will be prefixed with a message length value:</div><div>110 <13>1 2019-02-01T09:44:21.386965+01:00 somehost somemachine - - [timeQuality tzKnown="1" isSynced="0"] RFC5424 format message</div><div><a href="https://tools.ietf.org/html/rfc6587">https://tools.ietf.org/html/rfc6587</a><br></div><div><br></div><div>Regards,</div><div>Gabor</div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 24, 2019 at 3:56 PM Nathan Fish <<a href="mailto:lordcirth@gmail.com">lordcirth@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Could you please clarify why the sources don't know what protocol they<br>
are sending? Are they relaying from other unknown sources?<br>
<br>
> Date: Sun, 24 Feb 2019 01:07:01 +0000 (UTC)<br>
> From: Carlan Philippe <<a href="mailto:philrmls@yahoo.fr" target="_blank">philrmls@yahoo.fr</a>><br>
> To: "<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>" <<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank">syslog-ng@lists.balabit.hu</a>><br>
> Subject: [syslog-ng] Syslog-ng setup for both RFC3164 and RFC5124<br>
> Message-ID: <<a href="mailto:1313969407.6661190.1550970421020@mail.yahoo.com" target="_blank">1313969407.6661190.1550970421020@mail.yahoo.com</a>><br>
> Content-Type: text/plain; charset="utf-8"<br>
><br>
> Hi all,<br>
> Is there a way to configure syslog-ng to process properly both RFC3164 and RFC5124 on the same listening port ?<br>
> The scenario is a bunch of devices sending traffic to one  syslog server port (both udp + tcp) with the senders typically not knowing what protocol they are sending.<br>
> We are running syslog-ng 3.13 with this setup:<br>
> source s_syslog { udp(ip(0.0.0.0) port(514)) ;                              tcp(ip(0.0.0.0)  port(514)); }<br>
><br>
>  If needed we could upgrade syslog-ng to 3.19.1 but having checked the doc for 3.19, it seems that the solution would be to create 2 source entries, 1 for RFC3164 with network() and 1 for RFC5124 with  syslog().  Neverthless, these 2 sources would have to listen on *different* ports and that is the problem for us.<br>
> Note that we also have an identical issue with cisco traffic, since it's not RFC compliant, syslog-ng adds automatically a header with  timestamp and hostname.<br>
><br>
> Thank you.<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div></div>