
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri","sans-serif";}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks, I just submitted #1204.  Please let me know if any more information is required.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Paul<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Tom DeCanio [mailto:decanio.tom@gmail.com]


<br>


<b>Sent:</b> Monday, June 09, 2014 5:36 PM<br>


<b>To:</b> Peter Manev<br>


<b>Cc:</b> Gofran, Paul; oisf-users@lists.openinfosecfoundation.org<br>


<b>Subject:</b> Re: [Oisf-users] EXTERNAL: Re: EVE-Log identity, facility, level<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt">Peter;<o:p></o:p></p>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt">I'll fix this one.  It looks like I left out some of the config that I had intended.<o:p></o:p></p>


</div>


<p class="MsoNormal">Tom<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Mon, Jun 9, 2014 at 2:03 PM, Peter Manev <<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>> wrote:<o:p></o:p></p>


<div>


<p class="MsoNormal">On Mon, Jun 9, 2014 at 9:58 PM, Gofran, Paul <<a href="mailto:paul.gofran@lmco.com">paul.gofran@lmco.com</a>> wrote:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt">> Peter, I enabled the syslog section and did see the identity and facility change for my log messages.  The level still came out as "info" always though.  I tried the following options for level:  Debug, debug,


 "Debug", and "debug".   All came out as info.<br>


><br>


> So correct me if I'm wrong but are there 3 related issues here?<br>


> 1) The eve-log parameters identity, facility, and level don't effect anything.  It didn't matter if I made these the same as the syslog section or different, they didn't take effect.<br>


> 2) The syslog section is not just for alerts and the identity, facility, and level parameters effect eve-log when it's in syslog mode.<br>


> 3) The level parameter is not working<br>


><br>


> I'll be happy to try out any other test configurations if you have any other ideas.  If these are actual issues let me know if you want me to submit a bug.  Thanks for the help.<br>


><br>


> -Paul<br>


><br>


><o:p></o:p></p>


</div>


<p class="MsoNormal">Could you open a ticket for this one actually?<br>


I think eve.json should be able to make those changes without being<br>


dependent if syslog is enabled further down in the section.<br>


<br>


thanks<o:p></o:p></p>


<div>


<div>


<p class="MsoNormal"><br>


<br>


--<br>


Regards,<br>


Peter Manev<br>


_______________________________________________<br>


Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">


oisf-users@openinfosecfoundation.org</a><br>


Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:


<a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>


List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">


https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>


OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><o:p></o:p></p>


</div>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</body>


</html>