我正在从另一台服务器接收 UDP 514 上的日志,并且我已配置 rsyslog.conf 将日志保存到另一个自定义目录,但我无法这样做,我通过 tcpdump 确认日志正在 514 上获取,但未保存。我错过了什么吗?
这是我在 rsyslog.conf 中所做的配置
$umask 0000
# ownership and permissions
$FileOwner punk
$FileGroup punk
$FileCreateMode 0640
$DirCreateMode 0755
# save that when possible
$PreserveFQDN on
# local ruleset (to control local syslogging)
$RuleSet local
$template CustomFormat,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
$ActionFileDefaultTemplate CustomFormat
$template prod1,"/ab/cs/edl/172.x.x.x/%$now%.log"
if $fromhost-ip == '172.x.x.x' then ?prod1
答案1
我不确定旧语法,但您可能需要使用以下命令将 udp 输入和端口绑定到规则集:
$ModLoad imudp
$InputUDPServerBindRuleset local
$UDPServerRun 514