<div dir="ltr">There is a selinux policy setup script in the syslog-ng repository, you might want to look at that to find some ideas.<div>I have seen that some ports are getting enabled by the script with the semanage command, maybe this is what you are missing: <a href="https://github.com/syslog-ng/syslog-ng/blob/master/contrib/selinux/syslog_ng.sh#L228">https://github.com/syslog-ng/syslog-ng/blob/master/contrib/selinux/syslog_ng.sh#L228</a></div><div><br></div><div>Cheers,</div><div>Attila</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 15, 2024 at 4:07 PM Attila Szakács <<a href="mailto:attila.szakacs@axoflow.com">attila.szakacs@axoflow.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello Sumanta!<div><br></div><div>Your config looks good.</div><div>The log about the statistics show that there are no incoming messages on 514 UDP and nothing is written to the files defined in the d_splunk destination.<br></div><div><br></div><div>I think you could try to narrow down the scope of the problem with the following ideas.</div><div><br></div><div>Try to send a message locally to 514 with:</div><div><font face="monospace">  echo "foo bar" | nc -u -w0 localhost 514</font></div><div><br></div></div><div>If it does not work, I would suggest to change the receiving port of the network() source to something larger, like <font face="monospace">port(12345)</font>, and trying again with the following, just to see if the problem only occurs for the 514 port:</div><div><span style="font-family:monospace">  echo "foo bar" | nc -u -w0 localhost 12345</span><br></div><div><br></div><div>You should see these kind of logs:</div><div><font face="monospace">[2024-01-15T15:58:46.037255] Incoming log entry; input='foo bar\x0a', msg='0x7f9bb0003020', rcptid='297'<br></font></div><div><font face="monospace">...</font></div><div><font face="monospace">[2024-01-15T15:58:46.037655] Initializing destination file writer; template='......', filename='......', symlink_as='(null)'<br></font></div><div><font face="monospace">...</font></div><div><font face="monospace">[2024-01-15T15:58:46.037872] Outgoing message; message='bar'</font><br></div><div><br></div><div>My hunch is that this probably has something to do with SELinux, but unfortunately my knowledge of it is very limited.</div><div><br></div><div>Regards,</div><div>Attila</div></div></div>
</blockquote></div>