
<div dir="ltr">Hello,<div> without digging any deeper into you configuration, just a small note: In most of the cases (maybe your will be different!) these kind of problems are network related and has nothing to do with Syslog-ng.</div><div> Packet showing up in TCPDUMP doesn't mean necessary that it will eventually reach the application. I would make some tests with a listening netcat application first.</div><div><br></div><div>Best regards,</div><div>Laci</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 10, 2019 at 2:55 AM Walter Tienken <<a href="mailto:Walter.Tienken@asu.edu" target="_blank">Walter.Tienken@asu.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div lang="EN-US">

<div class="gmail-m_7947951445146679541gmail-m_653769593070541557gmail-m_-3200879246396170054WordSection1">

<p class="MsoNormal"><span style="font-size:11pt">Hello All,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">I'd like to see if we can get some troubleshooting help with Syslog-NG OSE. Here's some background:

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">Our environment collects logs from various network locations (F5, checkpoint, plixer, etc) and sends them to our Syslog-NG cluster through two F5 load balancers. We have four netlog boxes in round-robin that

 are running version 5 of the PE version of Syslog-NG on RHEL6. We also have a dev server running rhel7 and the 3.19.1 OSE edition of Syslog-NG from the COPR repository. On each of these servers, we run the Splunk Universal Forwarder that then sends the logs

 over to our indexer cluster.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">The problem we are having is that the dev server will not listen to any traffic except via localhost. We can see the traffic just fine on a TCPDUMP as it comes out of the load balancer into the dev box, but

 watching Syslog-NG in the foreground with -Fevd the traffic never registers at all. We can send test messages with loggen or netcat, etc, from localhost and Syslog-NG will see it and log it to disk as expected. Anywhere else it just never sees the traffic

 nor logs anything to disk even though we have confirmed that Syslog-NG is listening on the 9999 port to UDP with netstat.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">Here is our syslog-ng.conf file from the working RHEL6 boxes:<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><a href="https://gist.github.com/MrTink76/9ee1e88f93a313f953e4033560af463a" target="_blank">https://gist.github.com/MrTink76/9ee1e88f93a313f953e4033560af463a</a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">This is the syslog-ng.conf file on the OSE box:<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><a href="https://gist.github.com/MrTink76/e181f4c0bf052077440d7bdfaf418e02" target="_blank">https://gist.github.com/MrTink76/e181f4c0bf052077440d7bdfaf418e02</a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">This is an example of our testing CONF file located in conf.d on the OSE box:<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><a href="https://gist.github.com/MrTink76/a0433b9e908ba683e36cb6199f9cc43f" target="_blank">https://gist.github.com/MrTink76/a0433b9e908ba683e36cb6199f9cc43f</a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">We send our test traffic to the F5 load balancer vip using UDP 9999. Like I said above, when we send on 9999 localhost with loggen or netcat, Syslog-NG sees it just fine and logs it to disk, but anywhere else

 it never registers nor records the test message to disk. We currently have SELinux disabled and there is no firewall running on the dev box (we see the traffic fine via tcpdump).<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">Any help/suggestions would be greatly appreciated. Please let me know if I need to provide further information.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt">Thanks much,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;color:rgb(31,73,125)">Walter Tienken</span><span style="font-size:11pt;font-family:Tahoma,sans-serif;color:black"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Tahoma,sans-serif;color:black"><a href="https://ex2010.asu.edu/owa/redir.aspx?SURL=sS2_o_WV6gQ_JAkG-_VgxIDZLGj9-EeBZIHMzfX5pjLCAxsj0_bSCG0AYQBpAGwAdABvADoAdwBhAGwAdABlAHIALgB0AGkAZQBuAGsAZQBuAEAAYQBzAHUALgBlAGQAdQA.&URL=mailto%3awalter.tienken%40asu.edu" target="_blank"><span style="font-family:Calibri,sans-serif;color:rgb(5,99,193)">walter.tienken@asu.edu</span></a><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;color:rgb(31,73,125)">Cloud and Advanced Network Engineering Services</span><span style="font-size:11pt;font-family:Tahoma,sans-serif;color:black"><u></u><u></u></span></p>

</div>

</div>


______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>

<br>

</blockquote></div>