<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">
Hi Victor!<br>
<br>
Syslog-ng tries to parse the file sources according to the old BSD syslog protocol (RFC3164). I guess rsyslog doesn't do any parsing by default.<br>
You can disable the default parsing with the "no-parse" flag. This causes that the entire message will be put into the $MESSAGE macro.<br>
<br>
Example:<br>
source {<br>
  file("/var/log/squid/access.log" flags("no-parse"))<br>
};<br>
<br>
I've googled the log format for squid access logs:<br>
<a href="https://wiki.squid-cache.org/Features/LogFormat" id="LPlnk">https://wiki.squid-cache.org/Features/LogFormat</a><br>
<div class="_Entity _EType_OWALinkPreview _EId_OWALinkPreview _EReadonly_1"></div>
<br>
Here are some examples:<br>
1265939281.764      1 172.16.167.228 TCP_DENIED/403 734 POST http://lbcore1.metacafe.com/test/SystemInfoManager.php - NONE/- text/html<br>
1556260467.596 8 192.168.45.27 TCP_MISS/200 2037 CONNECT 192.168.70.4:443 - HIER_DIRECT/192.168.70.4 -<br>
<br>
In order to parse the unix timestamp from these message, you would need to do some custom parsing additionally.<br>
I can help you with it if you would like to, but maybe you process your logs already on the (receiving) server side.<br>
<br>
Regards,<br>
Gabor<br>
<br>
</div>
<div id="appendonsend"></div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> syslog-ng <syslog-ng-bounces@lists.balabit.hu> on behalf of victorsugo <victorsugo@protonmail.com><br>
<b>Sent:</b> Tuesday, October 6, 2020 13:19<br>
<b>To:</b> syslog-ng@lists.balabit.hu <syslog-ng@lists.balabit.hu><br>
<b>Subject:</b> [syslog-ng] squid access.log to syslog-ng - how?</font>
<div> </div>
</div>
<div>
<div style="background-color:#FFEB9C; width:100%; border-style:solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:'Calibri'; color:Black; text-align:left">
<span style="color:#9C6500; font-weight:bold">CAUTION:</span> This email originated from outside of the organization. Do not follow guidance, click links, or open attachments unless you recognize the sender and know the content is safe.</div>
<br>
<div>
<div>Hi,<br>
</div>
<div><br>
</div>
<div>I'd like to send all of my squid proxy's log to a syslog-ng server.<br>
</div>
<div>But it doesn't work as I want, because when syslog-ng parses the lines from access.log, it interprets the first field (actually UTC timestamp) as a program.<br>
</div>
<div>(I get the timestamp value in the PROGRAM field).<br>
</div>
<div><br>
</div>
<div>But... if I put an rsyslog (installed locally on squid's container) between the squid and syslog-ng servers, I can get correct results.<br>
</div>
<div>Could you help me, how can I omit the rsyslog from the logging and get a usable log?<br>
</div>
<div>Is there a standard way to do it? Or do I need to create an own template in squid.conf for this log?<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>regards,<br>
</div>
<div>Victor<br>
</div>
<div>--------------------- What's the vector Victor? :) ---------------------------------------------------<br>
</div>
</div>
</div>
</body>
</html>