
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from rtf -->

<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

</head>

<body>

<font face="Calibri, sans-serif" size="2">

<div>Hello,</div>

<div> </div>

<div>I’m testing rsyslog/liblognorm trying to parse syslog messages from cisco devices, but in some cases liblognorm is not matching syslog messages with corresponding rules.</div>

<div> </div>

<div>Please see next information and let me know if something is wrong.</div>

<div> </div>

<div>===================================================================================================</div>

<div># cat test.rulebase</div>

<div>prefix=%date:date-rfc3164%</div>

<div>rule=: %%SYS-5-CONFIG_I: Configured from console by console</div>

<div>rule=: %%SYS-5-CONFIG_I: Configured from console by vty%-:number% (%cisco.ip:ipv4%)</div>

<div>rule=: %%SYS-5-CONFIG_I: Configured from console by %cisco.user:word% on vty%-:number% (%cisco.ip:ipv4%)</div>

<div>rule=: %%SYS-5-CONFIG_I: Configured from console by %cisco.user:word% on console</div>

<div> </div>

<div># lognormalizer -r test.rulebase</div>

<div>Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured from console by console</div>

<div>[cee@115 originalmsg="Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured from console by console" <span style="background-color:#FFFF00">unparsed-data=""]</span></div>

<div>Sep 18 13:09:02: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.1.1)</div>

<div>[cee@115 cisco.ip="192.168.1.1" date="Sep 18 13:09:02:"]</div>

<div>Sep 18 13:15:29: %SYS-5-CONFIG_I: Configured from console by user1 on vty0 (192.168.1.2)</div>

<div>[cee@115 cisco.ip="192.168.1.2" cisco.user="user1" date="Sep 18 13:15:29:"]</div>

<div>Sep 18 13:29:28: %SYS-5-CONFIG_I: Configured from console by user2 on console</div>

<div>[cee@115 cisco.user="user2" date="Sep 18 13:29:28:"]</div>

<div>=========================================================================================================</div>

<div> </div>

<div>The first message (“<i>Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured from console by console</i><i>”</i>) is not being parsed correctly.</div>

<div> </div>

<div>Output from lognormalizer in verbose mode:</div>

<div> </div>

<div> </div>

<div>I’m working on a CentOS 6.4 virtual machine, and next packages have been installed:</div>

<div> </div>

<div>rsyslog-mmjsonparse-7.4.4-2.el6.x86_64</div>

<div>rsyslog-debuginfo-7.4.4-2.el6.x86_64</div>

<div>rsyslog-mysql-7.4.4-2.el6.x86_64</div>

<div>rsyslog-elasticsearch-7.4.4-2.el6.x86_64</div>

<div>rsyslog-udpspoof-7.4.4-2.el6.x86_64</div>

<div>rsyslog-7.4.4-2.el6.x86_64</div>

<div>rsyslog-mmnormalize-7.4.4-2.el6.x86_64</div>

<div> </div>

<div> </div>

<div> </div>

<div><font face="Arial, sans-serif" size="2">Jose Castillo</font></div>

<div><font face="Arial, sans-serif" size="2">MicroTech ESS Contract</font></div>

<div><font face="Arial, sans-serif" size="2">Phone (410) 597-0194</font></div>

<div><font face="Arial, sans-serif" size="2">OTSO/DNE/NMB/NMST</font></div>

<div><a href="mailto:Jose.Castillo@ssa.gov"><font face="Arial, sans-serif" size="2" color="#0000FF"><u>Jose.Castillo@ssa.gov</u></font></a></div>

<div> </div>

<div> </div>

<div> </div>

</font>

</body>

</html>