<div dir="ltr"><div><div>Peter;<br><br></div>I'll fix this one.  It looks like I left out some of the config that I had intended.<br><br></div>Tom<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jun 9, 2014 at 2:03 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Mon, Jun 9, 2014 at 9:58 PM, Gofran, Paul <<a href="mailto:paul.gofran@lmco.com">paul.gofran@lmco.com</a>> wrote:<br>

</div><div class="">> Peter, I enabled the syslog section and did see the identity and facility change for my log messages.  The level still came out as "info" always though.  I tried the following options for level:  Debug, debug, "Debug", and "debug".   All came out as info.<br>

><br>
> So correct me if I'm wrong but are there 3 related issues here?<br>
> 1) The eve-log parameters identity, facility, and level don't effect anything.  It didn't matter if I made these the same as the syslog section or different, they didn't take effect.<br>
> 2) The syslog section is not just for alerts and the identity, facility, and level parameters effect eve-log when it's in syslog mode.<br>
> 3) The level parameter is not working<br>
><br>
> I'll be happy to try out any other test configurations if you have any other ideas.  If these are actual issues let me know if you want me to submit a bug.  Thanks for the help.<br>
><br>
> -Paul<br>
><br>
><br>
<br>
</div>Could you open a ticket for this one actually?<br>
I think eve.json should be able to make those changes without being<br>
dependent if syslog is enabled further down in the section.<br>
<br>
thanks<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</div></div></blockquote></div><br></div>