
<div dir="auto">Honestly I don't see your exact use-case, I noticed you were using host() and they seemed as if they were IP addresses.<div dir="auto"><br></div><div dir="auto">You can implement a wide set of policies using syslog-ng.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 1, 2020, 14:32 Rose, Ed <<a href="mailto:Ed_Rose@mentor.com" target="_blank" rel="noreferrer">Ed_Rose@mentor.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">But won’t using netmask defeat the whole purpose of separating out the logs?  Or will it still attempt to separate the devices by some arbitrary hostname that

 it does not exist?<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> syslog-ng [mailto:<a href="mailto:syslog-ng-bounces@lists.balabit.hu" rel="noreferrer noreferrer" target="_blank">syslog-ng-bounces@lists.balabit.hu</a>]

<b>On Behalf Of </b>Balazs Scheidler<br>

<b>Sent:</b> Friday, May 1, 2020 12:12 AM<br>

<b>To:</b> Syslog-ng users' and developers' mailing list <<a href="mailto:syslog-ng@lists.balabit.hu" rel="noreferrer noreferrer" target="_blank">syslog-ng@lists.balabit.hu</a>><br>

<b>Subject:</b> Re: [syslog-ng] Syslogs not writing to disk<u></u><u></u></span></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">the host filter that you apply to the incoming traffic is matching against the $HOST macro, ie. the text within the message. This can be an IP address or a hostname depending on various settings.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Your messages don't contain a a hostname field, thus syslog-ng will try to "guess" it, normally based on the sending IP address but then would also potentially use DNS to resolve it to a name.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">If you want to filter on IP address, I suggest the netmask() filter.<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">On Thu, Apr 30, 2020 at 7:34 PM Rose, Ed <<a href="mailto:Ed_Rose@mentor.com" rel="noreferrer noreferrer" target="_blank">Ed_Rose@mentor.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The tcpdump looks good and there doesn’t appear to be any drops.  I should also mention that the syslog

 servers are behind a Netscaler load balancer doing round robin load balancing between two different syslog-ng servers that are setup exactly the same.  I have about 10 different sources send logs to these syslog servers and all of them are writing to disk

 except this particular source (cisco_asa).</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Thanks</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Ed</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">10:24:21.525178 IP (tos 0x0, ttl 254, id 3483, offset 0, flags [none], proto UDP (17), length 190)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">    x.x.x.x  > x.x.x.x: SYSLOG, length: 162</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Facility local4 (20), Severity debug (7)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Msg: 2020-04-30T17:24:21Z: %ASA-7-734003: DAP: User blah, Addr x.x.x.x: Session Attribute

<a href="http://endpoint.am" rel="noreferrer noreferrer" target="_blank">endpoint.am</a>["539"].description="Trend Micro OfficeScan Client"\0x0a</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">10:24:21.525179 IP (tos 0x0, ttl 254, id 15604, offset 0, flags [none], proto UDP (17), length 166)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">    x.x.x.x > x.x.x.x: SYSLOG, length: 138</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Facility local4 (20), Severity debug (7)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Msg: 2020-04-30T17:24:21Z: %ASA-7-734003: DAP: User blah, Addr x.x.x.x: Session Attribute

<a href="http://endpoint.am" rel="noreferrer noreferrer" target="_blank">endpoint.am</a>["539"].version="12.0.5400"\0x0a</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">10:24:21.525368 IP (tos 0x0, ttl 254, id 19622, offset 0, flags [none], proto UDP (17), length 193)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">    x.x.x.x > x.x.x.x: SYSLOG, length: 165</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Facility local4 (20), Severity debug (7)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">        Msg: 2020-04-30T17:24:21Z: %ASA-7-734003: DAP: User blah, Addr x.x.x.x: Session Attribute endpoint.anyconnect.devicetype

 = "Dell Inc. Latitude 5290 2-in-1"\0x0a</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> syslog-ng [mailto:<a href="mailto:syslog-ng-bounces@lists.balabit.hu" rel="noreferrer noreferrer" target="_blank">syslog-ng-bounces@lists.balabit.hu</a>]

<b>On Behalf Of </b>Balazs Scheidler<br>

<b>Sent:</b> Thursday, April 30, 2020 10:50 AM<br>

<b>To:</b> Syslog-ng users' and developers' mailing list <<a href="mailto:syslog-ng@lists.balabit.hu" rel="noreferrer noreferrer" target="_blank">syslog-ng@lists.balabit.hu</a>><br>

<b>Subject:</b> Re: [syslog-ng] Syslogs not writing to disk</span><u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<p class="MsoNormal">Tcpdump shows data that is later dropped by the packet filter, so make sure that iptables lets the packets through.<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Another potential culprit is selinux, check for violations in the kernel log.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">On Thu, Apr 30, 2020, 16:20 Rose, Ed <<a href="mailto:Ed_Rose@mentor.com" rel="noreferrer noreferrer" target="_blank">Ed_Rose@mentor.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;border-color:currentcolor currentcolor currentcolor rgb(204,204,204)">

<div>

<div>

<p class="MsoNormal">Hello All,<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">I have syslog-ng setup currently setup to write to disk and forward events on to a different syslog server.  Syslog isn’t writing to disk it seems.  I do not see any errors either,

 unless I am not looking in the right place for the errors.  Tcpdump –v host x.x.x.x shows data coming in from the host but a tail –f ${HOST}/log_${HOST} shows no logs going to disk.<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">Thanks<u></u><u></u></p>

<p class="MsoNormal">Ed<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">syslog-ng 3 (3.14.1)<u></u><u></u></p>

<p class="MsoNormal">Config version: 3.14<u></u><u></u></p>

<p class="MsoNormal">Installer-Version: 3.14.1<u></u><u></u></p>

<p class="MsoNormal">Revision:<u></u><u></u></p>

<p class="MsoNormal">Module-Directory: /usr/lib64/syslog-ng<u></u><u></u></p>

<p class="MsoNormal">Module-Path: /usr/lib64/syslog-ng<u></u><u></u></p>

<p class="MsoNormal">Available-Modules: afmongodb,sdjournal,linux-kmsg-format,appmodel,date,pseudofile,afamqp,syslogformat,csvparser,cef,tags-parser,affile,afsocket,afstomp,tfgetent,json-plugin,confgen,system-source,stardate,graphite,dbparser,afprog,xml,add-contextual-data,snmptrapd-parser,cryptofuncs,kvformat,disk-buffer,basicfuncs,afuser,map-value-pairs<u></u><u></u></p>

<p class="MsoNormal">Enable-Debug: off<u></u><u></u></p>

<p class="MsoNormal">Enable-GProf: off<u></u><u></u></p>

<p class="MsoNormal">Enable-Memtrace: off<u></u><u></u></p>

<p class="MsoNormal">Enable-IPv6: on<u></u><u></u></p>

<p class="MsoNormal">Enable-Spoof-Source: on<u></u><u></u></p>

<p class="MsoNormal">Enable-TCP-Wrapper: on<u></u><u></u></p>

<p class="MsoNormal">Enable-Linux-Caps: on<u></u><u></u></p>

<p class="MsoNormal">Enable-Systemd: on<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">filter f_awanra1 { host("x.x.x.x"); };<u></u><u></u></p>

<p class="MsoNormal">filter f_bwanra1 { host("x.x.x.x"); };<u></u><u></u></p>

<p class="MsoNormal">filter f_cwanra1 { host("x.x.x.x"); };<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">destination d_ciscoasa { file("/var/log2/gns/cisco_asa/${HOST}/log_${HOST}" create-dirs(yes) dir-perm(0755) dir-group(splunk) perm(0640) group(splunk)); };<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">destination d_uid1 { tcp("x.x.x.x"  port(514) ); };<u></u><u></u></p>

<p class="MsoNormal">destination d_uid2 { tcp("x.x.x.x"  port(514) ); };<u></u><u></u></p>

<p class="MsoNormal">destination d_uid3 { tcp("x.x.x.x"  port(514) ); };<u></u><u></u></p>

<p class="MsoNormal">destination d_uid4 { tcp("x.x.x.x"  port(514) ); };<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">log { source(s_net); filter(f_amywanra1); destination(d_ciscoasa); destination(d_uid1); destination(d_uid2); destination(d_uid3); destination(d_uid4); flags(final); };<u></u><u></u></p>

<p class="MsoNormal">log { source(s_net); filter(f_cnswanra1); destination(d_ciscoasa); destination(d_uid1); destination(d_uid2); destination(d_uid3); destination(d_uid4); flags(final); };<u></u><u></u></p>

<p class="MsoNormal">log { source(s_net); filter(f_demwanra1); destination(d_ciscoasa); destination(d_uid1); destination(d_uid2); destination(d_uid3); destination(d_uid4); flags(final); };<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer noreferrer" target="_blank">

https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer noreferrer" target="_blank">

http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><u></u><u></u></p>

</blockquote>

</div>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer noreferrer" target="_blank">

https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer noreferrer" target="_blank">

http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<br>

-- <u></u><u></u></p>

<div>

<p class="MsoNormal">Bazsi<u></u><u></u></p>

</div>

</div>

</div>


______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer noreferrer noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer noreferrer noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer noreferrer noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>

<br>

</blockquote></div>