別のサーバーから UDP 514 でログを受信しています。ログを別のカスタム ディレクトリに保存するように rsyslog.conf を構成しましたが、それができません。tcpdump でログが 514 で取得されているが保存されていないことを確認しました。何か見落としている点はありますか?
rsyslog.confで作成した設定は次のとおりです。
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
答え1
従来の構文についてはよくわかりませんが、おそらく次のようにして UDP 入力とポートをルールセットにバインドする必要があります。
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514