Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 12547 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Syslog field layout help?

b1r2s
Hey all, I'm working on building a free app for Splunk utilizing syslog data from UTM.  I've got screen shots if anyone is interested.  I'd like to know if there is anyone that can confirm all of the fields, as I don't see that information documented anywhere.  Things like size (is that bytes?), perc, proto (shouldn't that be 0-7?), id, etc.  

Does a list exist anywhere?


This thread was automatically locked due to age.
Parents
  • 0
    I'm looking at 'packetfilter.log' locally (no syslog)...

    date/time hostname ulogProcessID eventID? severity systemName subsystemName name(dropped/logged/...) action fwruleID INinterface OUTinterface srcMAC dstMAC srcIP dstIP protocol length tos prec ttl srcPort dstPort tcpFlags

    Protocol: UDP is 17; not sure why you're only expecting 0-6
    https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

    I'm not sure what IPv6 systems would show

    I believe length is in Bytes, for the individual packet.

    TOS = terms of service flags

    prec (not perc) - I don't know what this is.

    TTL = time to live


    The one I called fwRuleID is the only ID that matters.

    Barry
Reply
  • 0
    I'm looking at 'packetfilter.log' locally (no syslog)...

    date/time hostname ulogProcessID eventID? severity systemName subsystemName name(dropped/logged/...) action fwruleID INinterface OUTinterface srcMAC dstMAC srcIP dstIP protocol length tos prec ttl srcPort dstPort tcpFlags

    Protocol: UDP is 17; not sure why you're only expecting 0-6
    https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

    I'm not sure what IPv6 systems would show

    I believe length is in Bytes, for the individual packet.

    TOS = terms of service flags

    prec (not perc) - I don't know what this is.

    TTL = time to live


    The one I called fwRuleID is the only ID that matters.

    Barry
Children
No Data
Unfiltered HTML