<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>I'm observing that syslog-ng is modifying the SYSLOGHOST in the incoming log line and outputting an IP instead.</div><div>I would like to retain the incoming hostname in incoming syslog and forward the same information.</div><div><br></div><div>Here is my incoming log line:</div><div><13>Nov 29 04:07:40 BVRM-DC04 AgentDevice=WindowsLog\tAgentLogFile=Security\tPluginVersion=7.2.8.91\tSource=Microsoft-Windows-Security-Auditing\tComputer=<a href="http://BVRM-DC04.xxxxxxxx.com">BVRM-DC04.xxxxxxxx.com</a>\tOriginatingComputer=172.26.1.60\tUser=\tDomain=\tEventID=4634\tEventIDCode=4634\tEventType=8\tEventCategory=12545\tRecordNumber=166757582\tTimeGenerated=1575029259\tTimeWritten=1575029259\tLevel=Log Always\tKeywords=Audit Success\tTask=SE_ADT_LOGON_LOGOFF\tOpcode=Info\tMessage=An account was logged off.<br></div><div><br></div><div>Outgoing log line:</div><div><13>Nov 29 04:07:40 <font color="#ff0000">172.22.2.55</font> AgentDevice=WindowsLog\tAgentLogFile=Security\tPluginVersion=7.2.8.91\tSource=Microsoft-Windows-Security-Auditing\tComputer=<a href="http://BVRM-DC04.xxxxxxxx.com">BVRM-DC04.xxxxxxxx.com</a>\tOriginatingComputer=172.26.1.60\tUser=\tDomain=\tEventID=4634\tEventIDCode=4634\tEventType=8\tEventCategory=12545\tRecordNumber=166757582\tTimeGenerated=1575029259\tTimeWritten=1575029259\tLevel=Log Always\tKeywords=Audit Success\tTask=SE_ADT_LOGON_LOGOFF\tOpcode=Info\tMessage=An account was logged off.<br></div><div><br></div><div>FYI, this is log from Windows, but same is happening for syslog from other firewalls as well.</div><div><br></div><div>My syslog-ng.conf:</div><div><br></div><div><div>@version: 3.24</div><div>@include "scl.conf"</div><div>########################</div><div># Sources</div><div>########################</div><div>source s_test_net { syslog(transport(udp) port(2514) ); };</div><div>########################</div><div># Destinations</div><div>########################</div></div><div><div>destination d_test { file("/tmp/test.log"); };</div><div>########################</div><div># Log paths</div><div>########################</div><div>log {</div><div>       source(s_test_net);</div><div>       destination(d_test);</div><div>};</div><div><br></div></div><div>Thanks</div><div>Raghu</div></div></div></div></div></div></div></div>