<div dir="ltr">As I follow up ... Permissions. rsyslog couldn't read the log file. Creating a discussion list thread for incorrect permissions is embarrassing, to say the least! :) rsyslog can now read and the information I posted before forwards the log just fine.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 12, 2018 at 9:45 AM, Tiago Faria <span dir="ltr"><<a href="mailto:tiago.faria.backups@gmail.com" target="_blank">tiago.faria.backups@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I'm actually using UDP for sending the messages, therefor the single @. Still can't get any messages from fast.log, though. All syslog is sent except for the imfile directive for fast.log. :/</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 11, 2018 at 11:33 PM, Greg Grasmehr <span dir="ltr"><<a href="mailto:greg.grasmehr@caltech.edu" target="_blank">greg.grasmehr@caltech.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That should be @@server:514<br>
<span class="m_1438069034316185374HOEnZb"><font color="#888888"><br>
Greg<br>
</font></span><div class="m_1438069034316185374HOEnZb"><div class="m_1438069034316185374h5"><br>
On 04/11/18 10:29:28, Tiago Faria wrote:<br>
> Thanks Greg! Makes sense.<br>
><br>
> Using the following in rsyslog.conf:<br>
><br>
> input (<br>
>         type="imfile"<br>
>         File="/var/log/suricata/fast.<wbr>log"<br>
>         Tag="Suricata"<br>
>         Severity="info"<br>
>         Facility="local5")<br>
><br>
> and relaying all facility to the SIEM, with:<br>
><br>
> *.* @server:514<br>
><br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>