Ich empfange Protokolle auf UDP 514 von einem anderen Server und habe rsyslog.conf so konfiguriert, dass die Protokolle in einem anderen benutzerdefinierten Verzeichnis gespeichert werden, aber ich kann das nicht. Ich habe über tcpdump bestätigt, dass Protokolle auf 514 eingehen, aber nicht gespeichert werden. Habe ich etwas übersehen?
Hier ist die Konfiguration, die ich in rsyslog.conf vorgenommen habe
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
Antwort1
Ich bin mir über die Legacy-Syntax nicht sicher, aber Sie müssen den UDP-Eingang und -Port wahrscheinlich mit folgendem an den Regelsatz binden:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514