Recibo registros en UDP 514 de otro servidor y configuré rsyslog.conf para guardar los registros en otro directorio personalizado, pero no puedo hacerlo. Confirmé a través de tcpdump que los registros están en 514 pero no se guardan. ¿Algo que me haya perdido?
Aquí está la configuración que hice en rsyslog.conf
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
Respuesta1
No estoy seguro acerca de la sintaxis heredada, pero probablemente necesite vincular la entrada y el puerto udp al conjunto de reglas con:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514