<div dir="ltr">do you have the latest version of liblognorm installed? I think I remember there was such a problem I fixed a couple of weeks ago...<br><br>Rainer<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Wed, Sep 18, 2013 at 9:42 PM, Castillo, Jose   Contractor <span dir="ltr"><<a href="mailto:Jose.Castillo@ssa.gov" target="_blank">Jose.Castillo@ssa.gov</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div link="blue" vlink="purple" lang="EN-US"><div><p>Thanks, but it didn't work adding a space to the end.<u></u><u></u></p><p><u></u> <u></u></p><p>It works if I use only the first rule:<u></u><u></u></p><div class="im">
<p>"<i>rule=: %%SYS-5-CONFIG_I: Configured from console by console</i>"<u></u><u></u></p><p><u></u> <u></u></p></div><p>It doesn’t work if the next two rules are defined:<u></u><u></u></p><div class="im"><p>"<i>rule=: %%SYS-5-CONFIG_I: Configured from console by console</i>"<u></u><u></u></p>
</div><p>“<i>rule=: %%SYS-5-CONFIG_I: Configured from console by %cisco.user:word% on console</i>”<u></u><u></u></p><p><u></u> <u></u></p><p><u></u> <u></u></p><p>I think it’s trying to match the second rule because “<i>console</i>” matches %<i>cisco.user:word% </i>and then is trying to match next characters, but I don’t know why is not matching the first rule.<u></u><u></u></p>
<p><u></u> <u></u></p><p>Any additional advice?<u></u><u></u></p><p><u></u> <u></u></p><p>Thanks,<u></u><u></u></p><p>Jose<u></u><u></u></p><div><div class="h5"><p><u></u> <u></u></p><p><u></u> <u></u></p><p><u></u> <u></u></p>
<p><u></u> <u></u></p><p>-----Original Message-----<br>From: <a href="mailto:lognorm-bounces@lists.adiscon.com" target="_blank">lognorm-bounces@lists.adiscon.com</a> [mailto:<a href="mailto:lognorm-bounces@lists.adiscon.com" target="_blank">lognorm-bounces@lists.adiscon.com</a>] On Behalf Of cclark<br>
Sent: Wednesday, September 18, 2013 3:06 PM<br>To: <a href="mailto:lognorm@lists.adiscon.com" target="_blank">lognorm@lists.adiscon.com</a><br>Subject: Re: [Lognorm] liblognorm rules</p><p><u></u> <u></u></p><p>I've seen this happen before with Cisco devices.  Try this:  In your rule,  add a white space to the end.<u></u><u></u></p>
<p><u></u> <u></u></p><p>So instead of this:<u></u><u></u></p><p><u></u> <u></u></p><p>"rule=: %%SYS-5-CONFIG_I: Configured from console by console"<u></u><u></u></p><p><u></u> <u></u></p><p>Try this:<u></u><u></u></p>
<p><u></u> <u></u></p><p>"rule=: %%SYS-5-CONFIG_I: Configured from console by console "<u></u><u></u></p><p><u></u> <u></u></p><p>Note the space at the end.<u></u><u></u></p><p><u></u> <u></u></p><p><u></u> <u></u></p>
<p><u></u> <u></u></p><p>On Wed, 18 Sep 2013 12:16:57 -0400, Castillo, Jose   Contractor wrote:<u></u><u></u></p><p>> Hello,<u></u><u></u></p><p>><u></u> <u></u></p><p>> I'm testing rsyslog/liblognorm trying to parse syslog messages from <u></u><u></u></p>
<p>> cisco devices, but in some cases liblognorm is not matching syslog <u></u><u></u></p><p>> messages with corresponding rules.<u></u><u></u></p><p>><u></u> <u></u></p><p>> Please see next information and let me know if something is wrong.<u></u><u></u></p>
<p>><u></u> <u></u></p><p>> <u></u><u></u></p><p>> ======================================================================<u></u><u></u></p><p>> =============================<u></u><u></u></p><p>><u></u> <u></u></p>
<p>> # cat test.rulebase<u></u><u></u></p><p>> prefix=%date:date-rfc3164%<u></u><u></u></p><p>> rule=: %%SYS-5-CONFIG_I: Configured from console by console<u></u><u></u></p><p>> rule=: %%SYS-5-CONFIG_I: Configured from console by vty%-:number%<u></u><u></u></p>
<p>> (%cisco.ip:ipv4%)<u></u><u></u></p><p>> rule=: %%SYS-5-CONFIG_I: Configured from console by %cisco.user:word% <u></u><u></u></p><p>> on vty%-:number% (%cisco.ip:ipv4%)<u></u><u></u></p><p>> rule=: %%SYS-5-CONFIG_I: Configured from console by %cisco.user:word% <u></u><u></u></p>
<p>> on console<u></u><u></u></p><p>><u></u> <u></u></p><p>> # lognormalizer -r test.rulebase<u></u><u></u></p><p>> Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured from console by console<u></u><u></u></p><p>> [cee@115 originalmsg="Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured <u></u><u></u></p>
<p>> from console by console" unparsed-data=""] Sep 18 13:09:02: <u></u><u></u></p><p>> %SYS-5-CONFIG_I: Configured from console by vty0<u></u><u></u></p><p>> (192.168.1.1)<u></u><u></u></p><p>> [cee@115 cisco.ip="192.168.1.1" date="Sep 18 13:09:02:"] Sep 18 <u></u><u></u></p>
<p>> 13:15:29: %SYS-5-CONFIG_I: Configured from console by user1 on<u></u><u></u></p><p>> vty0 (192.168.1.2)<u></u><u></u></p><p>> [cee@115 cisco.ip="192.168.1.2" cisco.user="user1" date="Sep 18 <u></u><u></u></p>
<p>> 13:15:29:"] Sep 18 13:29:28: %SYS-5-CONFIG_I: Configured from console <u></u><u></u></p><p>> by user2 on console<u></u><u></u></p><p>> [cee@115 cisco.user="user2" date="Sep 18 13:29:28:"]<u></u><u></u></p>
<p>> <u></u><u></u></p><p>> ======================================================================<u></u><u></u></p><p>> ===================================<u></u><u></u></p><p>><u></u> <u></u></p><p>><u></u> <u></u></p>
<p>> The first message ("_Sep 18 13:06:18: %SYS-5-CONFIG_I: Configured from <u></u><u></u></p><p>> console by console__"_) is not being parsed correctly.<u></u><u></u></p><p>><u></u> <u></u></p><p>> Output from lognormalizer in verbose mode:<u></u><u></u></p>
<p>><u></u> <u></u></p><p>> I'm working on a CentOS 6.4 virtual machine, and next packages have <u></u><u></u></p><p>> been installed:<u></u><u></u></p><p>><u></u> <u></u></p><p>> rsyslog-mmjsonparse-7.4.4-2.el6.x86_64<u></u><u></u></p>
<p>> rsyslog-debuginfo-7.4.4-2.el6.x86_64<u></u><u></u></p><p>> rsyslog-mysql-7.4.4-2.el6.x86_64<u></u><u></u></p><p>> rsyslog-elasticsearch-7.4.4-2.el6.x86_64<u></u><u></u></p><p>> rsyslog-udpspoof-7.4.4-2.el6.x86_64<u></u><u></u></p>
<p>> rsyslog-7.4.4-2.el6.x86_64<u></u><u></u></p><p>> rsyslog-mmnormalize-7.4.4-2.el6.x86_64<u></u><u></u></p><p>><u></u> <u></u></p><p>> Jose Castillo<u></u><u></u></p><p>> MicroTech ESS Contract<u></u><u></u></p>
<p>> Phone (410) 597-0194<u></u><u></u></p><p>> OTSO/DNE/NMB/NMST<u></u><u></u></p><p>> <a href="mailto:Jose.Castillo@ssa.gov" target="_blank"><span style="color:windowtext;text-decoration:none">Jose.Castillo@ssa.gov</span></a> [1]<u></u><u></u></p>
<p>><u></u> <u></u></p><p>><u></u> <u></u></p><p>><u></u> <u></u></p><p>> Links:<u></u><u></u></p><p>> ------<u></u><u></u></p><p>> [1] <a href="mailto:Jose.Castillo@ssa.gov" target="_blank"><span style="color:windowtext;text-decoration:none">mailto:Jose.Castillo@ssa.gov</span></a><u></u><u></u></p>
<p><u></u> <u></u></p><p>--<u></u><u></u></p><p>--<u></u><u></u></p><p>- Champ Clark III<u></u><u></u></p><p>   Quadrant Information Security [<a href="http://quadrantsec.com" target="_blank">http://quadrantsec.com</a>]<u></u><u></u></p>
<p>   o: 904.296.9100 x101<u></u><u></u></p><p>   o: 800.539.9357 x101<u></u><u></u></p><p>_______________________________________________<u></u><u></u></p><p>Lognorm mailing list<u></u><u></u></p><p><a href="mailto:Lognorm@lists.adiscon.com" target="_blank"><span style="color:windowtext;text-decoration:none">Lognorm@lists.adiscon.com</span></a><u></u><u></u></p>
<p><a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank"><span style="color:windowtext;text-decoration:none">http://lists.adiscon.net/mailman/listinfo/lognorm</span></a><u></u><u></u></p></div></div>
</div></div><br>_______________________________________________<br>
Lognorm mailing list<br>
<a href="mailto:Lognorm@lists.adiscon.com">Lognorm@lists.adiscon.com</a><br>
<a href="http://lists.adiscon.net/mailman/listinfo/lognorm" target="_blank">http://lists.adiscon.net/mailman/listinfo/lognorm</a><br>
<br></blockquote></div><br></div>