[syslog-ng] Macro question

[HÖLTZL Péter]

Dear Mick,

> I have a log message that appears in my logfiles as
> 
> Oct 28 16:41:22 juniper-router {wan-service-set}[FWNAT]: 
> ASP_NAT_RULE_MATCH: proto 6 (TCP) application: any, 
> ge-0/0/3.2:10.3.13.153:49818 -> 66.249.80.148:80, Match NAT rule-set: , 
> rule: nat-outgoing, term: dynamic-nat

It seems junper do not send valid RFC3164 message (wrong program/pid
field). In addition syslog-ng do not handle it coccetly (which could be
a bug) that is why the message do not appears in the any macros (my
default the message should be in MSG or MSGONLY. Pleas try to use the
no-parse flag at the source driver which reads incoming syslog messages.
I hope it helps. For further see info see this:

http://www.balabit.hu/dl/html/syslog-ng-v3.0-guide-admin-en.html/ch08s01.html

search for the word no-parse and pleas sen us the result!

Best wishes,

Peter


-- 
Höltzl Péter
CISA, IT biztonsági tanácsadó
holtzl.peter at balabit.hu
+36 20 366 966
http://peter.blogs.balabit.hu/

BalaBit IT Security
1115 Budapest
XI. Bártfai u. 54.
Tel +36 1 371 0540
Fax +36 1 208 0875

Az üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt
áll, a nyilvános közléstől védett. Az üzenetet kizárólag a címzett,
illetve az általa meghatalmazottak használhatják fel. Ha Ön nem az
üzenet címzettje, úgy kérjük, hogy telefonon, vagy e-mail-ben értesítse
erről az üzenet küldőjét és törölje az üzenetet, valamint annak összes
csatolt mellékletét a rendszeréből. Ha Ön nem az üzenet címzettje, abban
az esetben tilos az üzenetet vagy annak bármely csatolt mellékletét
lemásolnia, elmentenie, az üzenet tartalmát bárkivel közölnie vagy azzal
visszaélnie.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
Url : http://lists.balabit.hu/pipermail/syslog-ng/attachments/20091030/88db25f5/attachment.pgp