Estou recebendo logs em UDP 514 de outro servidor e configurei o rsyslog.conf para salvar os logs em outro diretório personalizado, mas não consigo fazer isso, confirmei através do tcpdump que os logs estão chegando em 514, mas não sendo salvos. Alguma coisa que eu perdi?
Aqui está a configuração que fiz em rsyslog.conf
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
Responder1
Não tenho certeza sobre a sintaxe legada, mas você provavelmente precisará vincular a entrada e a porta udp ao conjunto de regras com:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514