<div dir="ltr">Hello,<div><br></div><div>Without the other part - where you do not expect the message to be received, and its connection to this logpath it is kinda hard to say much.</div><div><br></div><div>Logpath on the same level:</div><div>log {</div><div>  filter { message("boo"); };</div><div><br></div><div>  flags(final);</div><div>};</div><div><br></div><div>log {</div><div>   flags(final);</div><div>};</div><div><br></div><div>In this case if the first logpath "accepts" the message ( filter matches in this example ), the other logpath never going to see the message. Otherwise it will.</div><div><br></div><div>But if you use *if* in the first logpath:</div><div><br></div><div><div>log {</div><div>  if {</div><div>  filter { message("boo"); };</div><div>  };</div><div><br></div><div>  flags(final);</div><div>};</div><div><br></div><div>It does not matter if the *filter* matches or not, as either way the logpath "accepts" the log, so other logpath (not speaking about embedded logapths) won't see the message.</div></div><div><br></div><div>If you use embedded logpath:</div><div><br></div><div><div><br class="gmail-Apple-interchange-newline">log {</div><div>  if {</div><div>  filter { message("boo"); };</div><div>  };</div><div><br></div><div>  log {</div><div>     #inner path</div><div>  };</div><div><br></div><div>  flags(final);</div><div>};</div></div><div><br></div><div>Despite the result of the previous *if* the inner logpath is going to get the message.</div><div><br></div><div><br></div><div>Do you have a specific use case to *drop* the message via writing it into "/dev/null" ?</div><div><br></div><div>--</div><div>Kokan</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 26, 2019 at 2:14 PM Faine, Mark R. (MSFC-IS40)[NICS] <<a href="mailto:mark.faine@nasa.gov" target="_blank">mark.faine@nasa.gov</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I have the following as the first log path in my configuration, however, My  understanding is that this should match any message with the text 'type=traffic' AND any of the listed policyid=## or a message with the text 'action=timeout'.  Flags(final) indicates that it should not be further processed by any other log path.  However, I'm still seeing messages that should be discarded, am I doing something wrong?  <br>
<br>
log {<br>
  if {<br>
    filter { message('type=traffic') };<br>
    filter {<br>
      (<br>
        message('policyid=35 ')      or<br>
        message('policyid=37 ')      or<br>
        message('policyid=38 ')      or<br>
        message('policyid=40_D ')    or<br>
        message('policyid=5 ')       or<br>
        message('policyid=10 ')      or<br>
        message('policyid=12 ')      or<br>
        message('policyid=50 ')      or<br>
        message('policyid=3 ')       or<br>
        message('action=timeout ')      <br>
      )<br>
    };<br>
    destination {<br>
      file("/dev/null");<br>
    };<br>
  };<br>
  flags(final);<br>
};<br>
<br>
Thanks,<br>
-Mark<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>