Я получаю логи по UDP 514 с другого сервера и настроил rsyslog.conf для сохранения журналов в другой пользовательский каталог, но я не могу этого сделать, я подтвердил через tcpdump, что логи поступают на 514, но не сохраняются. Что-то я упустил?
Вот конфигурация, которую я сделал в rsyslog.conf
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
решение1
Я не уверен насчет устаревшего синтаксиса, но вам, вероятно, нужно привязать вход и порт UDP к набору правил с помощью:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514