
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

You are right, there is no flow-control for the log path where d_mgmt_vrf_socket destination is, I'm sorry.</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

Still, the internal log messages that the disk-buffer of d_mgmt_vrf_socket is filled are correct, but the source is not suspended.</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

I have some trouble understanding the problem, can you explain it please?<br>

You're saying that the syslog() source in s_src is receiving message, while the internal() and system() doesn't? You've also stated that journald logs are working fine.<br>

Does that mean that you can see new logs in journal, but not in syslog-ng?</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

When the issue happens, can you check that internal() is working, e.g. by turning on and off the verbosity logging with "syslog-ng-ctl verbose --set on" and then "sbin/syslog-ng-ctl verbose --set off", please?<br>

This would generate an internal message with info level.</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

<span style="color: rgb(0, 0, 0); font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt;">Also, can you check system() source as well with the "logger" command, e.g. "logger --rfc3164 test syslog-ng", please?</span><br>

</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

Could you give us a syslog-ng-ctl stats output too, please?<br>

<br>

Maybe I have found something, but I have to double-check: it looks like internal() source's messages are suppressed due to the destination <span style="background-color:rgb(255, 255, 255);display:inline !important">d_mgmt_vrf_socket is unreachable:</span><br>

<44>1 2022-03-11T11:52:45.313+00:00 xmm4-1-1 syslog-ng 8283 - [meta sequenceId="4"] internal() messages are looping back, preventing loop by suppressing all internal messages until the current message is processed; trigger-msg='', first-suppressed-msg='Suppressing

 duplicate message; host=\'xmm4-1-1\', msg=\'Destination reliable queue full, dropping message; filename=\\'/tmp/syslog-ng-00016.rqf\\', queue_len=\\'6063\\', mem_buf_size=\\'2097152\\', disk_buf_size=\\'4194304\\', persist_name=\\'afsocket_dd_qfile(stream,localhost.afunix:/dev/uds_log)\\'\''<br>

<br>

</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

This means that there are no internal() logs until the destination is not reachable again.<br>

<br>

</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

Regards,</div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

Gabor</div>

<div id="appendonsend"></div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Alexandre Santos <ASantos@infinera.com><br>

<b>Sent:</b> Wednesday, March 16, 2022 16:53<br>

<b>To:</b> Gabor Nagy (gnagy) <Gabor.Nagy@oneidentity.com>; Syslog-ng users' and developers' mailing list <syslog-ng@lists.balabit.hu><br>

<b>Subject:</b> RE: Local sources seem not to be working</font>

<div> </div>

</div>

<style>

<!--

@font-face

        {font-family:"Cambria Math"}

@font-face

        {font-family:Calibri}

@font-face

        {font-family:Consolas}

p.x_MsoNormal, li.x_MsoNormal, div.x_MsoNormal

        {margin:0cm;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif}

p.x_xmsonormal, li.x_xmsonormal, div.x_xmsonormal

        {margin:0cm;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif}

span.x_EmailStyle21

        {font-family:"Calibri",sans-serif;

        color:windowtext}

.x_MsoChpDefault

        {font-size:10.0pt}

@page WordSection1

        {margin:72.0pt 72.0pt 72.0pt 72.0pt}

div.x_WordSection1

        {}

-->

</style>

<div lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">

<div style="background-color:#FFEB9C; width:100%; border-style:solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:'Calibri'; color:Black; text-align:left">

<span style="color:#9C6500; font-weight:bold">CAUTION:</span> This email originated from outside of the organization. Do not follow guidance, click links, or open attachments unless you recognize the sender and know the content is safe.</div>

<br>

<div>

<div class="x_WordSection1">

<p class="x_MsoNormal">Hi Gabor,</p>

<p class="x_MsoNormal">Thanks for the feedback.</p>

<p class="x_MsoNormal"> </p>

<p class="x_MsoNormal">But the flags(flow-control); is not set for the destination d_mgmt_vrf_socket. Only for the other destinations… d_localfile_<filename>.</p>

<p class="x_MsoNormal"> </p>

<p class="x_MsoNormal">That also does not explain the fact that log messages from:</p>

<p class="x_MsoNormal">syslog(ip(10.20.30.40) transport("udp") port(514) keep-alive(no));

</p>

<p class="x_MsoNormal">are still being written to the d_localfile_<filename>.</p>

<p class="x_MsoNormal"> </p>

<p class="x_MsoNormal">Any other idea?</p>

<p class="x_MsoNormal">Thanks in advance,</p>

<p class="x_MsoNormal">Alex</p>

<p class="x_MsoNormal"> </p>

<div>

<div style="border:none; border-top:solid #E1E1E1 1.0pt; padding:3.0pt 0cm 0cm 0cm">

<p class="x_MsoNormal"><b>From:</b> Gabor Nagy (gnagy) <Gabor.Nagy@oneidentity.com>

<br>

<b>Sent:</b> 16 de março de 2022 15:09<br>

<b>To:</b> Syslog-ng users' and developers' mailing list <syslog-ng@lists.balabit.hu>; Alexandre Santos <ASantos@infinera.com><br>

<b>Subject:</b> Re: Local sources seem not to be working</p>

</div>

</div>

<p class="x_MsoNormal"> </p>

<div>

<p class="x_MsoNormal"><span style="color:black">Hi Alex!<br>

<br>

I've checked the attached config and logs, and it looks like syslog-ng cannot send logs to the "/dev/uds_log" destination, and you have flow-control enabled in the config.</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="color:black">Once you fill the disk-buffer (which is a 4MiB sized reliable disk-buffer), flow-control kicks in and syslog-ng stops reading more messages from the sources that are connected to this destination.</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="color:black"><br>

example log:<br>

Destination reliable queue full, dropping message; filename='/tmp/syslog-ng-00016.rqf', queue_len='6063', mem_buf_size='2097152', disk_buf_size='4194304', persist_name='afsocket_dd_qfile(stream,localhost.afunix:/dev/uds_log)'<br>

<br>

At first, I would suggest to increase the disk-buffer size.</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="color:black"> </span></p>

</div>

<div>

<p class="x_MsoNormal" style="margin-bottom:12.0pt"><span style="color:black">Regards,<br>

Gabor</span></p>

</div>

<div class="x_MsoNormal" align="center" style="text-align:center">

<hr size="2" width="98%" align="center">

</div>

<div id="x_divRplyFwdMsg">

<p class="x_MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> syslog-ng <syslog-ng-bounces@lists.balabit.hu> on behalf of Alexandre Santos <ASantos@infinera.com><br>

<b>Sent:</b> Tuesday, March 15, 2022 16:04<br>

<b>To:</b> syslog-ng@lists.balabit.hu <syslog-ng@lists.balabit.hu><br>

<b>Subject:</b> [syslog-ng] Local sources seem not to be working</span> </p>

<div>

<p class="x_MsoNormal"> </p>

</div>

</div>

<div>

<div style="border:solid #9C6500 1.0pt; padding:2.0pt 2.0pt 2.0pt 2.0pt">

<p class="x_MsoNormal" style="line-height:12.0pt; background:#FFEB9C"><b><span style="font-size:10.0pt; color:#9C6500">CAUTION:</span></b><span style="font-size:10.0pt; color:black"> This email originated from outside of the organization. Do not follow guidance,

 click links, or open attachments unless you recognize the sender and know the content is safe.</span></p>

</div>

<p class="x_MsoNormal"> </p>

<div>

<div>

<p class="x_xmsonormal">Hi,</p>

<p class="x_xmsonormal"> </p>

<p class="x_xmsonormal">I have syslog-ng 3.32.1 running in a Debian GNU/Linux 10 (buster) with the configuration in the attachement.</p>

<p class="x_xmsonormal"> </p>

<p class="x_xmsonormal">After sometime running, syslog-ng seems be unable to read from

<span style="font-family:Consolas">system()</span> and <span style="font-family:Consolas">

internal()</span> sources.</p>

<p class="x_xmsonormal">Log messages from <span style="font-family:Consolas">syslog(ip(10.20.30.40) transport("udp") port(514) keep-alive(no));</span> are seen in the output folders.</p>

<p class="x_xmsonormal">Also journald logs are working fine.</p>

<p class="x_xmsonormal"> </p>

<p class="x_xmsonormal">After a reload of configuration in which what changes is this line:</p>

<p class="x_xmsonormal"><span style="font-family:Consolas">rewrite r_host { set("MACHINE-${HOST}", value("HOST")); };</span></p>

<p class="x_xmsonormal">logging is resumed.</p>

<p class="x_xmsonormal"> </p>

<p class="x_xmsonormal">Here is the time gap for logs:</p>

<p class="x_xmsonormal"><span style="font-family:Consolas"><43>1 2022-03-11T11:55:23.802+00:00 xmm4-1-1 syslog-ng 8283 - [meta sequenceId="767"] Last message 'Destination reliable' repeated 8933 times, suppressed by syslog-ng on xmm4-1-1</span></p>

<p class="x_xmsonormal"><span style="font-family:Consolas"><46>1 2022-03-14T07:19:01.817+00:00 xmm4-1-1 syslog-ng 8283 - [meta sequenceId="1"] Module loaded and initialized successfully; module='syslogformat'</span></p>

<p class="x_xmsonormal"><span style="font-family:Consolas"> </span></p>

<p class="x_xmsonormal">Do you know why this is happening?</p>

<p class="x_xmsonormal"> </p>

<p class="x_xmsonormal">Thanks & Regards,</p>

<p class="x_xmsonormal">Alex</p>

<p class="x_xmsonormal"> </p>

</div>

</div>

</div>

</div>

</div>

</div>

</body>

</html>