<br><br><div class="gmail_quote">On Fri, Jul 4, 2008 at 8:35 AM, Ryan King <<a href="mailto:communist.goatherder@gmail.com">communist.goatherder@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><div class="gmail_quote"><div><div></div><div class="Wj3C7c">On Thu, Jul 3, 2008 at 7:37 PM, Adam Hewitt <<a href="mailto:ahewitt@theozhewitts.com" target="_blank">ahewitt@theozhewitts.com</a>> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Ryan King wrote:<div><div></div><div><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
<br>
On Thu, Jul 3, 2008 at 6:44 PM, Adam Hewitt <<a href="mailto:ahewitt@theozhewitts.com" target="_blank">ahewitt@theozhewitts.com</a> <mailto:<a href="mailto:ahewitt@theozhewitts.com" target="_blank">ahewitt@theozhewitts.com</a>>> wrote:<br>


<br>
    Hi All,<br>
<br>
    I am trying to get snmptraps passed through to syslog-ng and then<br>
    sent through an interpretor into Nagios. I have snmptrapd logging<br>
    to syslog, and I have added the following lines to syslog-ng.conf:<br>
<br>
    destination d_nagios { file("/tmp/test_file.txt"); };<br>
    filter f_snmptrap { program("snmptrapd"); };<br>
    log { source(s_sys); filter(f_snmptrap); destination(d_nagios); };<br>
<br>
    sending it to the test_file was just to make sure I was actually<br>
    catching the snmptrapd logs which I am not.<br>
<br>
    I have tried a number of variations on the ("snmptrapd") such as<br>
    ("snmptrapd\[.*\]") and none of them work.<br>
<br>
    can anyone see where my logic has gone astray?<br>
<br>
    cheers,<br>
<br>
    Adam.<br>
<br>
<br>
<br>
Hey Adam,<br>
<br>
It's been a while, how's it going ;)<br>
<br>
Can't see anything obviously wrong - but I am wondering about 'snmptrapd' and if it's actually logging to the source you are using?  Depending on the version of snmptrapd / dist, you have to specify -Ls for it to use syslog...   But what does source s_sys look like?<br>


<br>
What about just removing the filter and dumping source s_sys straight to that temp file - just to make sure the messages are coming through that source and to double check the program name?<br>
<br>
That's where I'd start anyway.<br>
<br>
Ryan<br>
<br>
</blockquote>
<br></div></div>
Gday Ryan,<br>
<br>
The s_sys looks like this:<br>
<br>
source s_sys {<br>
unix-stream("/dev/log");<br>
udp();<br>
tcp(ip(<a href="http://0.0.0.0" target="_blank">0.0.0.0</a>) port(5000) max-connections(300));<br>
internal();<br>
};<br>
<br>
I do have -L in the snmptrapd command and it is definitely logging to syslog. If I comment out all the other log lines in the syslog-ng.conf file I get nothing being logged including the snmptrapd entries, which means that it is just my entry that is not matching correctly. I also changed the filter to program(.*) and that seemed to pick it all up as well, so it is definitely something with my filter.<br>


<br>
(sorry I should have been more specific with my previous email, but I was typing it with a screaming baby bouncing on my lap :/ )<br>
<br>
Cheers again.<div><div></div><div><br>
</div></div></blockquote></div></div><div><br>Maybe snmptrapd is logging with a different program name (caps?  missing?) or just doing something weird.  For another test (to see if snmptrapd is behaving), try changing the facility it logs to.  ie:  "snmptrapd -Ls local1" and change:<div class="Ih2E3d">
<br>
<br>filter f_snmptrap { program("snmptrapd"); };<br><br></div>to<br><br>filter f_snmptrap { facility(local1); };<br></div></div><br><br>Can you paste an example line from your log that shows a snmptrapd message?<br>
<font color="#888888"><br>
Ryan<br></font><br>
<br></blockquote></div><br>Well I figured it out *sigh*<br><br>It turns out that the "/etc/init.d/syslog-ng restart" wasn't actually restarting. You would think I would have learned not to rely on that by now, but there you go.<br>
<br>Changing the facility to program("snmptrapd.*") ended up working as expected once I really did a restart.<br><br>Thanks for all your help.<br><br>Adam. <br>