我正在從另一台伺服器接收UDP 514 上的日誌,並且我已配置rsyslog.conf 將日誌保存到另一個自訂目錄,但我無法這樣做,我透過tcpdump 確認日誌正在514 上獲取,但未儲存。我錯過了什麼嗎?
這是我在 rsyslog.conf 中所做的配置
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
答案1
我不確定舊語法,但您可能需要使用以下命令將 udp 輸入和連接埠綁定到規則集:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514