
<div dir="ltr"><div dir="ltr"><div>In path try use like this</div><div><br></div><div>"/var/log/netlog/app/${HOST}/${PROGRAM}/${YEAR}/${MONTH}/${HOST}-${YEAR}${MONTH}${DAY}.log"<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 13, 2019 at 7:36 PM <<a href="mailto:freebsd@tango.lu">freebsd@tango.lu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hello,<br>

<br>

I have a syslogNG based siem setup with customized rules like:<br>

<br>

options {<br>

         use_dns(no);<br>

         use_fqdn(no);<br>

         check_hostname(no);<br>

         owner(root);<br>

         group(root);<br>

         perm(0640);<br>

         dir_owner(root);<br>

         dir_group(root);<br>

         dir_perm(0750);<br>

         create_dirs(yes);<br>

         normalize_hostnames(yes);<br>

         keep_hostname(yes);<br>

         # disable stats<br>

         stats_freq(0);<br>

};<br>

<br>

<br>

<br>

destination d_net_auth {<br>

file("/var/log/corporate/$HOST_FROM/auth.log"); };<br>

...<br>

<br>

These settings will not do dns resolution will result that when hosts <br>

sending their logs into this SIEM directories will be created by their <br>

IP addresses where the logs go.<br>

<br>

I would like to replicate this server on a second location without using <br>

brute methods like rsyncing the whole directory structure daily. I have <br>

configured syslogng to keep forwarding the logs to a remote destination <br>

which works fine however I can't select the messages based on the same <br>

criteria on the new log server because if I use the same config <br>

everything will originate from the IP for logserver 1.  I need IP based <br>

directories on the second loghost as well, everything to be identical.<br>

<br>

I'm using syslogng 3.12.<br>

<br>

Is there a workaround for this?<br>

<br>

Thanks<br>

______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>

<br>

</blockquote></div></div></div>