<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi,<div><br></div><div>I have a strange issue with templates... Maybe some stupid issue on my side, maybe a bug I don't know</div><div><b><br></b></div><div><b><spoiler> Solutions at the end of this </spoiler></b></div><div><br></div><div>Here is the scenario</div><div><br></div><div>Logs coming from Windows using Syslog-ng Agent (syslog destination)</div><div>Logs received using latest OSE (but same issues at the customer with PE6)</div><div>Logs must be forwarded to Qradar using a special LEEF template like this (there are also tabs in the template). I've tried both network and syslog destination</div><div><br></div><div><div>template t_leefwin {</div><div>    template("<${PRI}>${BSDDATE} ${HOST} LEEF:1.0|Microsoft|Windows|2k8r2|${EVENT_ID}|<span style="white-space:pre">    </span>devTime=${R_YEAR}-${R_MONTH}-${R_DAY}T${R_HOUR}:${R_MIN}:${R_SEC}GMT${TZOFFSET}<span style="white-space:pre">      </span>devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz<span style="white-space:pre"> </span>cat=${EVENT_TYPE}<span style="white-space:pre">    </span>sev=${EVENT_LEVEL}<span style="white-space:pre">   </span>resource=${HOST}<span style="white-space:pre">     </span>usrName=${EVENT_USERNAME}<span style="white-space:pre">    </span>application=${EVENT_SOURCE}<span style="white-space:pre">  </span>message=${EVENT_MSG}\n");</div><div>};</div></div><div><br></div><div>The forwarded results like this</div><div><46> IP-address LEEF:1.0|Microsoft|Windows|2k8r2||devTime=2020-05-28T09:10:02GMT+02:00<span style="white-space:pre">        </span>devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz<span style="white-space:pre"> </span>cat=<span style="white-space:pre"> </span>sev=<span style="white-space:pre"> </span>resource=172.17.24.174<span style="white-space:pre">       </span>usrName=<span style="white-space:pre">     </span>application=<span style="white-space:pre"> </span>message=<br></div><div><br></div><div>So, the $macro-s are empty except the one which is not from .sdata (resource)</div><div><br></div><div>I've created a local json and welf destination and I can see the macros there</div><div><br></div><div>SDATA="[win@18372.4 EVENT_CATEGORY=\"None\" EVENT_FACILITY=\"16\" EVENT_ID=\"4098\" EVENT_LEVEL=\"3\" EVENT_NAME=\"Application\" EVENT_REC_NUM=\"73006\" EVENT_SID=\"S-1-5-18\" EVENT_SID_TYPE=\"User\" EVENT_SOURCE=\"Group Policy Services\" EVENT_TYPE=\"Figyelmeztetés\" EVENT_HOST=\"hostname\" EVENT_USERNAME=\"NT AUTHORITY\\\\SYSTEM\"<br></div><div><br></div><div>I remember I used this method years ago to forward logs from syslog-ng agent to Qradar with proper LEEF format and it was ok... but now, some small thing is missing</div><div><br></div><div>Versions</div><div><div>syslog-ng 3 (3.25.1)</div><div>Config version: 3.25</div><div>Installer-Version: 3.25.1</div></div><div><br></div><div>But, we have a similar issue with PE6 at the customer</div><div><br></div><div>Any idea?</div><div><br></div><div>--- so after playing with the welf output a bit, I figured out the short version of the macro names are not longer working somehow, but the long ones are ok like this</div><div><br></div><div><div>template t_leefwin {</div><div>    template("<${PRI}>${BSDDATE} ${HOST} LEEF:1.0|Microsoft|Windows|2k8r2|${.SDATA.win@18372.4.EVENT_ID}|devTime=${R_YEAR}-${R_MONTH}-${R_DAY}T${R_HOUR}:${R_MIN}:${R_SEC}GMT${TZOFFSET}<span style="white-space:pre">       </span>devTimeFormat=yyyy-MM-dd'T'HH:mm:ssz<span style="white-space:pre"> </span>cat=${.SDATA.win@18372.4.EVENT_TYPE}<span style="white-space:pre"> </span>sev=${.SDATA.win@18372.4.EVENT_LEVEL}<span style="white-space:pre">        </span>resource=${SDATA.win@18372.4.EVENT_HOST}<span style="white-space:pre">     </span>usrName=${.SDATA.win@18372.4.EVENT_USERNAME}<span style="white-space:pre"> </span>application=${.SDATA.win@18372.4.EVENT_SOURCE}<span style="white-space:pre">       </span>message=${MESSAGE}\n");</div><div>};</div></div><div><br></div><div><br></div><div><br></div><div>Thanks</div><div>L:</div><div><br></div></div></div></div></div></div></div></div>