<div dir="ltr">That's what we are doing, but the intention is for the Splunk Add-on (basically what Logstash calls a module) to provide all the regex required to parse the logs and enrich them with the required metadata to understand what each log message means without having to look it up in the reference guide. I will add more extractions to the add-on, which is basically regex that can be re-used in whatever logging platform you use, so it might be of interest even for those not using Splunk.<div><br></div><div>Mikael</div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-12-05 15:41 GMT+01:00 Munroe Sollog <span dir="ltr"><<a href="mailto:mus3@lehigh.edu" target="_blank">mus3@lehigh.edu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I am not familiar with splunk as we use logstash, but can't you just use syslog to forward them to splunk and then just parse them accordingly?</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 5, 2017 at 9:39 AM, Mikael Bjerkeland <span dir="ltr"><<a href="mailto:mikael@bjerkeland.com" target="_blank">mikael@bjerkeland.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">I am also interested in this. I started writing a Splunk add-on to extract and parse the logs. Posting the URL in case anyone else needs this:<div dir="auto"><br><div dir="auto"><a href="https://github.com/inspired/TA-isc-kea-dhcp-server-add-on-for-splunk-enterprise" target="_blank">https://github.com/inspired/TA<wbr>-isc-kea-dhcp-server-add-on-fo<wbr>r-splunk-enterprise</a><br></div><div dir="auto"><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="m_1196671972757869561h5">5. des. 2017 15:35 skrev "Munroe Sollog" <<a href="mailto:mus3@lehigh.edu" target="_blank">mus3@lehigh.edu</a>>:<br type="attribution"></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_1196671972757869561h5"><div dir="ltr">I'm using this document as reference:<div><br></div><div><div><a href="http://kea.isc.org/docs/kea-messages.html#messages" target="_blank">http://kea.isc.org/docs/kea-me<wbr>ssages.html#messages</a><br></div><div><br></div><div>When it comes to DHCP the decades-old process has long been understood as DORA or DORG</div><div><br></div><div>Discover, Offer, Request/Renew, Acknowledge/Grant</div><div><br></div><div>Looking at my logs and the above website, it looks like the ISC has abandoned these words and replaced them with things like 'LEASE_ALLOC" and "LEASE_ADVERT" and "INIT_REBOOT".  I have not been able to find an equivalent message for discover yet.</div><div><br></div><div>As a system/network administrator, I found it incredibly useful to be able to follow the DORA process in the logs, especially when troubleshooting a problem.</div><div><br></div><div>Am I missing a configuration parameter that might restore some of this functionality? </div><div><br></div>-- <br><div class="m_1196671972757869561m_-7934190759864441812m_2796655707242322738gmail_signature"><div dir="ltr">Munroe Sollog<div>Senior Network Engineer</div><div><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a></div></div></div>
</div></div>
<br></div></div>______________________________<wbr>_________________<br>
Kea-users mailing list<br>
<a href="mailto:Kea-users@lists.isc.org" target="_blank">Kea-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/kea-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/<wbr>listinfo/kea-users</a><br>
<br></blockquote></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="m_1196671972757869561gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Munroe Sollog<div>Senior Network Engineer</div><div><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a></div></div></div>
</div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Hug a tree before you print this e-mail</div>
</div>