
<div dir="auto"><div>Unfortunately your question might seem simple, but really isn't. You are mentioning rfc5425 but in what way is this rfc5425?<div dir="auto"><br></div><div dir="auto">Is the client device sending it in that mode, due to a configuration setting? </div><div dir="auto"><br></div><div dir="auto">Can you show an example for this "rfc5425" message being incorrect? I would need to see how you configured syslog-ng to receive those messages, and the kind of device plus its settings. Unfortunately various devices mess up syslog in a lot of different ways, and although syslog-ng is able to cope with a lot of scenarios, it might not be all of them.</div><div dir="auto"><br></div><div dir="auto">So please describe:</div><div dir="auto">* The device sending the log, preferably with log related settings</div><div dir="auto">* The syslog-ng source declaration that you use to receive these messages</div><div dir="auto">* The syslog-ng destination declaration (and not just the template) that you use to send out the message</div><div dir="auto">* The end result in the consumer.</div><div dir="auto"><br></div><div dir="auto">Please try to explain what you see and what you'd expect at each state, as listed above.</div><div dir="auto"><br></div><div dir="auto">If you want,we could possibly get to our gitter channel where things can be discussed more interactively.</div><div dir="auto"><br></div><div dir="auto">Balázs</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 7, 2022, 13:23 Maurya, Shivani <<a href="mailto:shivani.maurya@intel.com">shivani.maurya@intel.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-IN" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="m_959291144605662801WordSection1">

<p class="MsoNormal"><span>Hi, <u></u><u></u></span></p>

<p class="MsoNormal"><span><u></u> <u></u></span></p>

<p class="MsoNormal"><span>Please find the details below on the current template which we use for syslog-ng messages –

<u></u><u></u></span></p>

<p class="MsoNormal"><span><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span>FORMAT – </span>

</b>template("${R_ISODATE} ${FULLHOST_FROM} ${SOURCEIP} ${PRIORITY} ${FACILITY} ${PROGRAM} ${MSG}\n")<span><u></u><u></u></span></p>

<p class="MsoNormal"><b>EXAMPLE -</b> 2022-11-07T12:13:05+00:00 FQDN IP notice local7 6266821 Nov 7 12:15:58.043:

<b><span style="background:yellow">%ILPOWER-5-DETECT</span></b>: Interface Gi1/0/16: Power Device detected: Cisco PD<span><u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">In the above example you can see the messages are prefixed with the

<span style="background:yellow">%TAG</span>. However with <b>

rfc 5425</b>, the messages are not prefixed with %TAG & it’s a plain message. <u></u>

<u></u></span></p>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Please let me know how to prefix the <b>rfc 5425

</b>messages with %TAG.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Regards,<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Shivani Maurya<u></u><u></u></span></p>

<p class="MsoNormal"><span><u></u> <u></u></span></p>

<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> syslog-ng <<a href="mailto:syslog-ng-bounces@lists.balabit.hu" target="_blank" rel="noreferrer">syslog-ng-bounces@lists.balabit.hu</a>>

<b>On Behalf Of </b>Balazs Scheidler<br>

<b>Sent:</b> Monday, November 7, 2022 5:41 PM<br>

<b>To:</b> Syslog-ng users' and developers' mailing list <<a href="mailto:syslog-ng@lists.balabit.hu" target="_blank" rel="noreferrer">syslog-ng@lists.balabit.hu</a>><br>

<b>Subject:</b> Re: [syslog-ng] Syslog-ng Message Format<u></u><u></u></span></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">Yes, there's.<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">It would be great if you could show us how you send your output to the log consumer today, it would be easier to suggest solutions based on that.<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">On Mon, Nov 7, 2022, 12:09 Maurya, Shivani <<a href="mailto:shivani.maurya@intel.com" target="_blank" rel="noreferrer">shivani.maurya@intel.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal">Hi All,<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">With the older Syslog-ng RFC format (<b>rfc 3164</b>), the devices used to send the syslog messages in the below format –<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">%TAG TIMESTAMP FULLHOSTFROM SEVERITY MSG<u></u><u></u></p>

<p class="MsoNormal"><b>Example -</b> %SYSMGR-2-NON_VOLATILE_DB_INODE_FULL:2022 Nov 7 03:54:30 MST: SYSMGR-2-NON_VOLATILE_DB_INODE_FULL: System non-volatile inode storage usage is unexpectedly high

 at 96<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">But with the new syslog-ng RFC format (<b>rfc 5425</b>), the devices send the syslog messages in below format –<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">TIMESTAMP FULLHOSTFROM SEVERITY MSG<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">Is there a way to update/format the messages (rfc 5424) to be pre-fixed with %TAG ?<u></u><u></u></p>

<p class="MsoNormal"><span lang="EN-US"> </span><u></u><u></u></p>

<p class="MsoNormal"><span lang="EN-US">Regards,</span><u></u><u></u></p>

<p class="MsoNormal"><span lang="EN-US">Shivani Maurya</span><u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" target="_blank" rel="noreferrer">

https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" target="_blank" rel="noreferrer">

http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" target="_blank" rel="noreferrer">http://www.balabit.com/wiki/syslog-ng-faq</a><u></u><u></u></p>

</blockquote>

</div>

</div>

</div>


______________________________________________________________________________<br>

Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>

Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>

FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>

<br>

</blockquote></div></div></div>