Todo o encaminhamento em rsyslog.conf
, o material que se parece com isso:
auth,authpriv.* /var/log/auth.log
vai registrar arquivos sem um nome de host. O material em 60-remote.conf
, que se parece com isso:
'auth,authpriv.* ?auth
está indo para os arquivos de log definidos pelos modelos como este:
$template auth,"/var/rsyslog/hosts/%HOSTNAME%/%$YEAR%/%$MONTH%/%$DAY%/auth.log
Portanto, parece que existem dois sistemas diferentes, com muita sobreposição. O material em rsyslog.conf
é o padrão, e o material em 60-remote.conf
é outro sistema quase completo.
Pelo que entendi, os hosts enviam eventos, não arquivos. Cada evento de log nos arquivos pode ou não ter um nome de host logo após o registro de data e hora (na maioria das configurações padrão). Os eventos são colocados nos arquivos pelo daemon syslog local.