Para a mensagem recebida abaixo do syslog,
<14>Mar 22 11:12:06 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.2.3.4/62963->23.58.169.35/443 0x0 junos-https 6.7.8.9/32359->23.58.169.35/443 0x0 source rule 1 N/A N/A 6 1 Trust Untrust 60471 N/A(N/A) ge-0/0/1.0 UNKNOWN UNKNOWN UNKNOWN
syslog-ng adiciona com êxito nome do host entre o registro de data e hora ( Mar 22 11:12:06 ) e o tipo de mensagem ( RT_FLOW )
Mas , para a mensagem recebida abaixo do syslog,
<14> Mar 22 11:04:17 206.133.74.126 03362 auth: User 'sup_ogr' logged in from 206.133.74.127 to SSH session
particularmente, o endereço IP já existe entre o registro de data e hora ( Mar 22 11:04:17 ) & tipo de mensagem ( auth ).
syslog-ng não é capaz de adicionar nome do host entre o registro de data e hora e o tipo de mensagem
As configurações usadas são: use_dns (yes); & keep_hostname (yes);
1) No segundo caso, a mensagem syslog tem IP, em conformidade com os padrões RFC 5424 ?
2) Se sim, então, qual configuração é necessária para definir o nome do host, entre a data e hora & tipo de mensagem?
Eu não sei exatamente sobre o syslog-ng, mas eu suponho que ele também usa uma mensagem heurística de análise syslog legacy, assim como o rsyslog (com uma heurística diferente, eu acho).
Deve-se notar que o formato da mensagem mostrado é estranho. O RFC3164 descreve o que geralmente pode ser visto no fio, e o segundo formato aqui está muito longe do que está descrito lá. Se possível, a melhor solução seria fazer o remetente corrigir o formato para ficar mais alinhado com os padrões.
Sim, ambas as mensagens se assemelham, mas não seguem o formato de mensagem syslog descrito no RFC3164. Para detalhes, veja esta e as seguintes páginas no documentação do syslog-ng . O syslog-ng também tenta analisar essas mensagens incorretas, mas pode não funcionar perfeitamente. Você pode tentar o seguinte:
HTH, Robert