Eu resolvi isso. Foi um erro de roteamento (!). O servidor não pôde acessar o originador da mensagem, portanto, a mensagem não foi processada no rsyslog ... Ir figura ...
Eu configurei um servidor rsyslog (baseado no CentOS 6) que funciona bem com alguns hosts remotos. Mas, quando adicionei um firewall Cisco ASA, ele registra suas mensagens!
O rsyslog.conf é o seguinte:
# rsyslog v5 configuration file
# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
### MODULES ####
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
#### GLOBAL DIRECTIVES ####
# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
O arquivo de configuração é o seguinte:
##RSYSLOG configuration file for Remote Logs
$FileCreateMode 0640
$template PerHostLog,"/var/log/remote/%HOSTNAME%.log"
if ($fromhost-ip startswith '10.1.5' or $fromhost-ip startswith '10.2.8') then -?PerHostLog
& ~
Há algo de errado com essas regras? Os TCPdumps mostram que as mensagens do host 10.2.8.1 atingem o servidor, mas o syslog optou por ignorá-las. Por quê??
Eu resolvi isso. Foi um erro de roteamento (!). O servidor não pôde acessar o originador da mensagem, portanto, a mensagem não foi processada no rsyslog ... Ir figura ...
Eu estava tendo o mesmo problema. Recebendo logs de dezenas de dispositivos ASA, mas não de um específico. O Tcpdump mostrou que os pacotes estavam chegando. Meu problema era que o kernel estava filtrando seus pacotes. Resolvido modificando estas duas chaves em /etc/sysctl.conf:
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
Eu tive que reiniciar o servidor porque sysctl -p estava retornando erros de algumas chaves que eu não queria modificar
Eu acredito que tenho sua resposta:
$AllowedSender UDP, 127.0.0.0/8, [::1]/128, 10.1.5.0/24, 10.2.8.0/24
Depois de ler o suficiente da documentação, confirmo que as mensagens estão sendo recebidas e refinando os filtros / regras de correspondência.
Por favor, deixe-me saber se / como você conserta isso; você definitivamente despertou minha curiosidade.
Boa sorte.