Mailing List Archive

probleme configuration multiport rsyslog
Hello,

I need your help for configuring rsyslog for the following use case

I have many devices and many technologies and each of them have to send their logs on rsyslog.
Due to the context, i have to configure rsyslog in order to collect logs on different ports and send them in a folder

For example, logs come from an ip with 10515 port will be stored in /data/log/10515/10515.log

But, something is missing in my configuration because, despite of my tests,i find most of the time these errors

netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2306 ]
Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: module 'imtcp' already in this config, cannot be added [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ]
Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10515 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
Jan 11 14:33:29xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 514 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]

Thank you for your help

Regards,


Samuel Desseaux
Direction des Syst?mes d'Information / Domaine Ing?nierie / Architecture et Expertise Outillage
Architecte ELK

95, rue de Maubeuge
75009 Paris - France
Tel : 07 49 95 94 14
samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr>
www.grdf.fr<http://www.grdf.fr/>


? Ce message est confidentiel et destin? ? l'usage du (des) seul(s) destinataire(s) concern?(s). Il peut ?galement contenir des informations ? usage restreint, soumises ? droits d'auteur ou ? d'autres dispositions l?gales. Si vous l'avez re?u par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre syst?me. La copie du message et la communication de son contenu ? quelque personne que ce soit sont interdites. La transmission erron?e de ce message n'entra?ne ni la renonciation ni la lev?e de la confidentialit? et du secret professionnel.

Tous les messages envoy?s et re?us par GRDF peuvent faire l'objet de contr?les visant ? garantir le respect des directives internes, prot?ger les int?r?ts de l'entreprise et ?liminer les ?ventuels logiciels dangereux. Les messages ?lectroniques ne sont pas s?curis?s et sont susceptibles de comporter des erreurs puisqu'ils peuvent ?tre intercept?s, modifi?s, perdus, supprim?s ou contenir des virus. Toute personne communiquant avec notre entreprise par message ?lectronique accepte ces risques. Les d?l?gations de pouvoirs et d'autorit? peuvent ?tre v?rifi?es et sont disponibles sur demande ?

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
Firstly, show us your config :-)

Secondly, you use a very old version.

Thirdly, I suspect you're using some form of legacy config and/or
blindly copied config snippets.

On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France)
via rsyslog wrote:
> Hello,
>
> I need your help for configuring rsyslog for the following use case
>
> I have many devices and many technologies and each of them have to send their logs on rsyslog.
> Due to the context, i have to configure rsyslog in order to collect logs on different ports and send them in a folder
>
> For example, logs come from an ip with 10515 port will be stored in /data/log/10515/10515.log
>
> But, something is missing in my configuration because, despite of my tests,i find most of the time these errors
>
> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2306 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: module 'imtcp' already in this config, cannot be added [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10515 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
> Jan 11 14:33:29xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 514 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
>
> Thank you for your help
>
> Regards,
>
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie / Architecture et Expertise Outillage
> Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr>
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
You will need to post your configuration before the list members may be able to help. Without that there’s just not enough information to go on.

Regards,


> On Jan 11, 2022, at 08:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog <rsyslog@lists.adiscon.com> wrote:
>
> Hello,
>
> I need your help for configuring rsyslog for the following use case
>
> I have many devices and many technologies and each of them have to send their logs on rsyslog.
> Due to the context, i have to configure rsyslog in order to collect logs on different ports and send them in a folder
>
> For example, logs come from an ip with 10515 port will be stored in /data/log/10515/10515.log
>
> But, something is missing in my configuration because, despite of my tests,i find most of the time these errors
>
> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2306 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: module 'imtcp' already in this config, cannot be added [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 10515 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
> Jan 11 14:33:29xx.XX.XX.com rsyslogd[899]: Could not create tcp listener, ignoring port 514 bind-address (null). [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2077 ]
>
> Thank you for your help
>
> Regards,
>
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie / Architecture et Expertise Outillage
> Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr>
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
Here is my config

$MaxMessageSize 64k
# rsyslog configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


template(name="TmplAuthpriv" type="string"
string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

module(load="imtcp")

#INPUT
ruleset(name="flux514"){
action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
}
input(type="imtcp" port="514" ruleset="flux514")


#$template Remote10515,"/data/log/10515/10515.log"
#
##$RuleSet Remote10515
##*.* -?Remote10515

#$InputTCPServerBindRuleset Remote10515
##$TCPServerRun 10515


#$template Remote10516,"/data/log/10516/10516.log"
##
###$RuleSet Remote10516
###*.* -?Remote10516
#
##$InputTCPServerBindRuleset Remote10516
###$TCPServerRun 10516
#

# process remote messages
#$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
#& stop
*.* ?RemoteLogs
& stop
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf

# Turn off message reception via local log socket;
# local messages are retrieved through imjournal now.
$OmitLocalLogging on

# File to store the position in the journal
$IMJournalStateFile imjournal.state


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
#authpriv.* /var/log/secure

# Log all the mail messages in one place.
#mail.* -/var/log/maillog


# Log cron stuff
#cron.* /var/log/cron

# Everybody gets emergency messages
#*.emerg :omusrmsg:*

# Save news errors of level crit and higher in a special file.
#uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
#local7.* /var/log/boot.log


# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously
$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog
Envoyé : mardi 11 janvier 2022 16:02
À : rsyslog@lists.adiscon.com
Cc : Mariusz Kruk <kruk@epsilon.eu.org>
Objet : Re: [rsyslog] probleme configuration multiport rsyslog

Firstly, show us your config :-)

Secondly, you use a very old version.

Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.

On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
> Hello,
>
> I need your help for configuring rsyslog for the following use case
>
> I have many devices and many technologies and each of them have to send their logs on rsyslog.
> Due to the context, i have to configure rsyslog in order to collect
> logs on different ports and send them in a folder
>
> For example, logs come from an ip with 10515 port will be stored in
> /data/log/10515/10515.log
>
> But, something is missing in my configuration because, despite of my
> tests,i find most of the time these errors
>
> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 514
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ]
>
> Thank you for your help
>
> Regards,
>
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie /
> Architecture et Expertise Outillage Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
> >
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
> contrôles visant à garantir le respect des directives internes,
> protéger les intérêts de l'entreprise et éliminer les éventuels
> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
> personne communiquant avec notre entreprise par message électronique
> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
> être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.

Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
> $ModLoad imtcp
> module(load="imtcp")

Those two statements are identical, one in old format one in new format. Only one is needed. That’s one of the error messages.


> On Jan 11, 2022, at 09:05, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog <rsyslog@lists.adiscon.com> wrote:
>
> Here is my config
>
> $MaxMessageSize 64k
> # rsyslog configuration file
>
> # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
> # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
>
> #### MODULES ####
>
> # The imjournal module bellow is now used as a message source instead of imuxsock.
> $ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
> $ModLoad imjournal # provides access to the systemd journal
> #$ModLoad imklog # reads kernel messages (the same are read from journald)
> #$ModLoad immark # provides --MARK-- message capability
> # Provides UDP syslog reception
> #$ModLoad imudp
> #$UDPServerRun 514
>
> # Provides TCP syslog reception
> $ModLoad imtcp
> $InputTCPServerRun 514
>
>
> template(name="TmplAuthpriv" type="string"
> string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> template(name="TmplMsg" type="string"
> string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> module(load="imtcp")
>
> #INPUT
> ruleset(name="flux514"){
> action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
> }
> input(type="imtcp" port="514" ruleset="flux514")
>
>
> #$template Remote10515,"/data/log/10515/10515.log"
> #
> ##$RuleSet Remote10515
> ##*.* -?Remote10515
>
> #$InputTCPServerBindRuleset Remote10515
> ##$TCPServerRun 10515
>
>
> #$template Remote10516,"/data/log/10516/10516.log"
> ##
> ###$RuleSet Remote10516
> ###*.* -?Remote10516
> #
> ##$InputTCPServerBindRuleset Remote10516
> ###$TCPServerRun 10516
> #
>
> # process remote messages
> #$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
> $template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
> if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
> #& stop
> *.* ?RemoteLogs
> & stop
> #### GLOBAL DIRECTIVES ####
> # Where to place auxiliary files
> $WorkDirectory /var/lib/rsyslog
>
> # Use default timestamp format
> $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
>
> # File syncing capability is disabled by default. This feature is usually not required,
> # not useful and an extreme performance hit
> #$ActionFileEnableSync on
>
> # Include all config files in /etc/rsyslog.d/
> $IncludeConfig /etc/rsyslog.d/*.conf
>
> # Turn off message reception via local log socket;
> # local messages are retrieved through imjournal now.
> $OmitLocalLogging on
>
> # File to store the position in the journal
> $IMJournalStateFile imjournal.state
>
>
> #### RULES ####
>
> # Log all kernel messages to the console.
> # Logging much else clutters up the screen.
> #kern.* /dev/console
>
> # Log anything (except mail) of level info or higher.
> # Don't log private authentication messages!
> #*.info;mail.none;authpriv.none;cron.none /var/log/messages
>
> # The authpriv file has restricted access.
> #authpriv.* /var/log/secure
>
> # Log all the mail messages in one place.
> #mail.* -/var/log/maillog
>
>
> # Log cron stuff
> #cron.* /var/log/cron
>
> # Everybody gets emergency messages
> #*.emerg :omusrmsg:*
>
> # Save news errors of level crit and higher in a special file.
> #uucp,news.crit /var/log/spooler
>
> # Save boot messages also to boot.log
> #local7.* /var/log/boot.log
>
>
> # ### begin forwarding rule ###
> # The statement between the begin ... end define a SINGLE forwarding
> # rule. They belong together, do NOT split them. If you create multiple
> # forwarding rules, duplicate the whole block!
> # Remote Logging (we use TCP for reliable delivery)
> #
> # An on-disk queue is created for this action. If the remote host is
> # down, messages are spooled to disk and sent when it is up again.
> $ActionQueueFileName fwdRule1 # unique name prefix for spool files
> $ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
> $ActionQueueSaveOnShutdown on # save messages to disk on shutdown
> $ActionQueueType LinkedList # run asynchronously
> $ActionResumeRetryCount -1 # infinite retries if host is down
> # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
> #*.* @@remote-host:514
> # ### end of the forwarding rule ###
>
> -----Message d'origine-----
> De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog
> Envoyé : mardi 11 janvier 2022 16:02
> À : rsyslog@lists.adiscon.com
> Cc : Mariusz Kruk <kruk@epsilon.eu.org>
> Objet : Re: [rsyslog] probleme configuration multiport rsyslog
>
> Firstly, show us your config :-)
>
> Secondly, you use a very old version.
>
> Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.
>
> On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
>> Hello,
>>
>> I need your help for configuring rsyslog for the following use case
>>
>> I have many devices and many technologies and each of them have to send their logs on rsyslog.
>> Due to the context, i have to configure rsyslog in order to collect
>> logs on different ports and send them in a folder
>>
>> For example, logs come from an ip with 10515 port will be stored in
>> /data/log/10515/10515.log
>>
>> But, something is missing in my configuration because, despite of my
>> tests,i find most of the time these errors
>>
>> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
>> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
>> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
>> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
>> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
>> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
>> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
>> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
>> bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
>> rsyslogd[899]: Could not create tcp listener, ignoring port 514
>> bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ]
>>
>> Thank you for your help
>>
>> Regards,
>>
>>
>> Samuel Desseaux
>> Direction des Systèmes d'Information / Domaine Ingénierie /
>> Architecture et Expertise Outillage Architecte ELK
>>
>> 95, rue de Maubeuge
>> 75009 Paris - France
>> Tel : 07 49 95 94 14
>> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
>>>
>> www.grdf.fr<http://www.grdf.fr/>
>>
>>
>> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>>
>> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
>> contrôles visant à garantir le respect des directives internes,
>> protéger les intérêts de l'entreprise et éliminer les éventuels
>> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
>> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
>> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
>> personne communiquant avec notre entreprise par message électronique
>> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
>> être vérifiées et sont disponibles sur demande »
>>
>> _______________________________________________
>> rsyslog mailing list
>> https://lists.adiscon.net/mailman/listinfo/rsyslog
>> http://www.rsyslog.com/professional-services/
>> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
>> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
Yup,

There are also more duplicated statements.

$InputTCPServerRun 514
input(type="imtcp" port="514" ruleset="flux514")

Furthermore, you have your other inputs (on those ports) commented out
in the main file but the errors show that rsyslogd is trying to bind to
those ports so I suppose you have more config parts in /etc/rsyslog.d/*.conf

On 11.01.2022 16:09, John Chivian via rsyslog wrote:
>> $ModLoad imtcp
>> module(load="imtcp")
> Those two statements are identical, one in old format one in new format. Only one is needed. That’s one of the error messages.
>
>
>> On Jan 11, 2022, at 09:05, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog <rsyslog@lists.adiscon.com> wrote:
>>
>> Here is my config
>>
>> $MaxMessageSize 64k
>> # rsyslog configuration file
>>
>> # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
>> # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
>>
>> #### MODULES ####
>>
>> # The imjournal module bellow is now used as a message source instead of imuxsock.
>> $ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
>> $ModLoad imjournal # provides access to the systemd journal
>> #$ModLoad imklog # reads kernel messages (the same are read from journald)
>> #$ModLoad immark # provides --MARK-- message capability
>> # Provides UDP syslog reception
>> #$ModLoad imudp
>> #$UDPServerRun 514
>>
>> # Provides TCP syslog reception
>> $ModLoad imtcp
>> $InputTCPServerRun 514
>>
>>
>> template(name="TmplAuthpriv" type="string"
>> string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
>> )
>>
>> template(name="TmplMsg" type="string"
>> string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
>> )
>>
>> module(load="imtcp")
>>
>> #INPUT
>> ruleset(name="flux514"){
>> action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
>> }
>> input(type="imtcp" port="514" ruleset="flux514")
>>
>>
>> #$template Remote10515,"/data/log/10515/10515.log"
>> #
>> ##$RuleSet Remote10515
>> ##*.* -?Remote10515
>>
>> #$InputTCPServerBindRuleset Remote10515
>> ##$TCPServerRun 10515
>>
>>
>> #$template Remote10516,"/data/log/10516/10516.log"
>> ##
>> ###$RuleSet Remote10516
>> ###*.* -?Remote10516
>> #
>> ##$InputTCPServerBindRuleset Remote10516
>> ###$TCPServerRun 10516
>> #
>>
>> # process remote messages
>> #$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
>> $template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
>> if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
>> #& stop
>> *.* ?RemoteLogs
>> & stop
>> #### GLOBAL DIRECTIVES ####
>> # Where to place auxiliary files
>> $WorkDirectory /var/lib/rsyslog
>>
>> # Use default timestamp format
>> $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
>>
>> # File syncing capability is disabled by default. This feature is usually not required,
>> # not useful and an extreme performance hit
>> #$ActionFileEnableSync on
>>
>> # Include all config files in /etc/rsyslog.d/
>> $IncludeConfig /etc/rsyslog.d/*.conf
>>
>> # Turn off message reception via local log socket;
>> # local messages are retrieved through imjournal now.
>> $OmitLocalLogging on
>>
>> # File to store the position in the journal
>> $IMJournalStateFile imjournal.state
>>
>>
>> #### RULES ####
>>
>> # Log all kernel messages to the console.
>> # Logging much else clutters up the screen.
>> #kern.* /dev/console
>>
>> # Log anything (except mail) of level info or higher.
>> # Don't log private authentication messages!
>> #*.info;mail.none;authpriv.none;cron.none /var/log/messages
>>
>> # The authpriv file has restricted access.
>> #authpriv.* /var/log/secure
>>
>> # Log all the mail messages in one place.
>> #mail.* -/var/log/maillog
>>
>>
>> # Log cron stuff
>> #cron.* /var/log/cron
>>
>> # Everybody gets emergency messages
>> #*.emerg :omusrmsg:*
>>
>> # Save news errors of level crit and higher in a special file.
>> #uucp,news.crit /var/log/spooler
>>
>> # Save boot messages also to boot.log
>> #local7.* /var/log/boot.log
>>
>>
>> # ### begin forwarding rule ###
>> # The statement between the begin ... end define a SINGLE forwarding
>> # rule. They belong together, do NOT split them. If you create multiple
>> # forwarding rules, duplicate the whole block!
>> # Remote Logging (we use TCP for reliable delivery)
>> #
>> # An on-disk queue is created for this action. If the remote host is
>> # down, messages are spooled to disk and sent when it is up again.
>> $ActionQueueFileName fwdRule1 # unique name prefix for spool files
>> $ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
>> $ActionQueueSaveOnShutdown on # save messages to disk on shutdown
>> $ActionQueueType LinkedList # run asynchronously
>> $ActionResumeRetryCount -1 # infinite retries if host is down
>> # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
>> #*.* @@remote-host:514
>> # ### end of the forwarding rule ###
>>
>> -----Message d'origine-----
>> De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog
>> Envoyé : mardi 11 janvier 2022 16:02
>> À : rsyslog@lists.adiscon.com
>> Cc : Mariusz Kruk <kruk@epsilon.eu.org>
>> Objet : Re: [rsyslog] probleme configuration multiport rsyslog
>>
>> Firstly, show us your config :-)
>>
>> Secondly, you use a very old version.
>>
>> Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.
>>
>> On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
>>> Hello,
>>>
>>> I need your help for configuring rsyslog for the following use case
>>>
>>> I have many devices and many technologies and each of them have to send their logs on rsyslog.
>>> Due to the context, i have to configure rsyslog in order to collect
>>> logs on different ports and send them in a folder
>>>
>>> For example, logs come from an ip with 10515 port will be stored in
>>> /data/log/10515/10515.log
>>>
>>> But, something is missing in my configuration because, despite of my
>>> tests,i find most of the time these errors
>>>
>>> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
>>> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
>>> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
>>> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
>>> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
>>> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
>>> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
>>> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
>>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
>>> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
>>> bind-address (null). [v8.24.0-52.el7_8.2 try
>>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
>>> rsyslogd[899]: Could not create tcp listener, ignoring port 514
>>> bind-address (null). [v8.24.0-52.el7_8.2 try
>>> http://www.rsyslog.com/e/2077 ]
>>>
>>> Thank you for your help
>>>
>>> Regards,
>>>
>>>
>>> Samuel Desseaux
>>> Direction des Systèmes d'Information / Domaine Ingénierie /
>>> Architecture et Expertise Outillage Architecte ELK
>>>
>>> 95, rue de Maubeuge
>>> 75009 Paris - France
>>> Tel : 07 49 95 94 14
>>> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
>>> www.grdf.fr<http://www.grdf.fr/>
>>>
>>>
>>> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>>>
>>> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
>>> contrôles visant à garantir le respect des directives internes,
>>> protéger les intérêts de l'entreprise et éliminer les éventuels
>>> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
>>> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
>>> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
>>> personne communiquant avec notre entreprise par message électronique
>>> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
>>> être vérifiées et sont disponibles sur demande »
>>>
>>> _______________________________________________
>>> rsyslog mailing list
>>> https://lists.adiscon.net/mailman/listinfo/rsyslog
>>> http://www.rsyslog.com/professional-services/
>>> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
>>> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
>> _______________________________________________
>> rsyslog mailing list
>> https://lists.adiscon.net/mailman/listinfo/rsyslog
>> http://www.rsyslog.com/professional-services/
>> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
>>
>> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>>
>> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>>
>> _______________________________________________
>> rsyslog mailing list
>> https://lists.adiscon.net/mailman/listinfo/rsyslog
>> http://www.rsyslog.com/professional-services/
>> What's up with rsyslog? Follow https://twitter.com/rgerhards
>> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
Hello,

Just to complete my message, i keep the following error

Could not create tcp listener, ignoring port 10516 bind-address **UNSPECIFIED**. [v8.2112.0 try https://www.rsyslog.com/e/2077 ]

My configuration is
# cat rsyslog.conf
$MaxMessageSize 64k
# rsyslog configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#$ModLoad imklog # reads kernel messages (the same are read from journald)
#$ModLoad immark # provides --MARK-- message capability
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


template(name="TmplAuthpriv" type="string"
string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

#module(load="imtcp")

#INPUT
ruleset(name="flux514"){
action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
}
input(type="imtcp" port="514" ruleset="flux514")



# process remote messages
#$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
#$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
#if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
#& stop
#*.* ?RemoteLogs
#& stop
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf

# Turn off message reception via local log socket;
# local messages are retrieved through imjournal now.
$OmitLocalLogging on

# File to store the position in the journal
$IMJournalStateFile imjournal.state


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
#authpriv.* /var/log/secure

# Log all the mail messages in one place.
#mail.* -/var/log/maillog


# Log cron stuff

-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog
Envoyé : mardi 11 janvier 2022 16:05
À : rsyslog-users <rsyslog@lists.adiscon.com>
Cc : DESSEAUX Samuel (Gaz Réseau Distribution France) <samuel.desseaux@externe.grdf.fr>
Objet : Re: [rsyslog] probleme configuration multiport rsyslog

Here is my config

$MaxMessageSize 64k
# rsyslog configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####

# The imjournal module bellow is now used as a message source instead of imuxsock.
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal #$ModLoad imklog # reads kernel messages (the same are read from journald) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


template(name="TmplAuthpriv" type="string"
string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

template(name="TmplMsg" type="string"
string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)

module(load="imtcp")

#INPUT
ruleset(name="flux514"){
action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
}
input(type="imtcp" port="514" ruleset="flux514")


#$template Remote10515,"/data/log/10515/10515.log"
#
##$RuleSet Remote10515
##*.* -?Remote10515

#$InputTCPServerBindRuleset Remote10515
##$TCPServerRun 10515


#$template Remote10516,"/data/log/10516/10516.log"
##
###$RuleSet Remote10516
###*.* -?Remote10516
#
##$InputTCPServerBindRuleset Remote10516 ###$TCPServerRun 10516 #

# process remote messages
#$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs #& stop
*.* ?RemoteLogs
& stop
#### GLOBAL DIRECTIVES ####
# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf

# Turn off message reception via local log socket; # local messages are retrieved through imjournal now.
$OmitLocalLogging on

# File to store the position in the journal $IMJournalStateFile imjournal.state


#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
#*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.
#authpriv.* /var/log/secure

# Log all the mail messages in one place.
#mail.* -/var/log/maillog


# Log cron stuff
#cron.* /var/log/cron

# Everybody gets emergency messages
#*.emerg :omusrmsg:*

# Save news errors of level crit and higher in a special file.
#uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log
#local7.* /var/log/boot.log


# ### begin forwarding rule ###
# The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again.
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously
$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ###

In /etc/rsyslog.d, i have created

*one file to indicate on which ports rsyslog can listen

module(load="imtcp")

input(
type="imtcp"
port="10514"
)

input(
type="imtcp"
port="10515"
)

input(
type="imtcp"
port="10516"
)

* a file for a dedicate rule (i've following this page https://supratim-sanyal.blogspot.com/2020/01/a-multi-port-remote-rsyslog-log-server.html?_sm_au_=iVV5vrMvfjN7JZJTKLcHLK0KBjTB6)

An idea? I don't find the way to solve the problem.

Best regards


Samuel Desseaux
Direction des Systèmes d’Information / Domaine Ingénierie / Architecture et Expertise Outillage
Architecte ELK

95, rue de Maubeuge
75009 Paris - France
Tel : 07 49 95 94 14
samuel.desseaux@externe.grdf.fr
www.grdf.fr



-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog Envoyé : mardi 11 janvier 2022 16:02 À : rsyslog@lists.adiscon.com Cc : Mariusz Kruk <kruk@epsilon.eu.org> Objet : Re: [rsyslog] probleme configuration multiport rsyslog

Firstly, show us your config :-)

Secondly, you use a very old version.

Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.

On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
> Hello,
>
> I need your help for configuring rsyslog for the following use case
>
> I have many devices and many technologies and each of them have to send their logs on rsyslog.
> Due to the context, i have to configure rsyslog in order to collect
> logs on different ports and send them in a folder
>
> For example, logs come from an ip with 10515 port will be stored in
> /data/log/10515/10515.log
>
> But, something is missing in my configuration because, despite of my
> tests,i find most of the time these errors
>
> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
> rsyslogd[899]: Could not create tcp listener, ignoring port 514
> bind-address (null). [v8.24.0-52.el7_8.2 try
> http://www.rsyslog.com/e/2077 ]
>
> Thank you for your help
>
> Regards,
>
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie /
> Architecture et Expertise Outillage Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
> >
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
> contrôles visant à garantir le respect des directives internes,
> protéger les intérêts de l'entreprise et éliminer les éventuels
> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
> personne communiquant avec notre entreprise par message électronique
> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
> être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.

Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.

Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: probleme configuration multiport rsyslog [ In reply to ]
one problem is that you are mixing the old and new syntax

don't do $TCPServerRun 514 and input(port 514) as they will fight each other.

if you are doing multiple inputs, just use the new syntax.

When you have configs not working as expected, and are using included config
snippets, it's a good idea to start rsyslog with the -o /path/to/new/file option
to have rsyslog write out what it interprets it's config to be (combining all
includes), you may be a bit surprised at the result.

David Lang

On Mon, 24 Jan 2022, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:

> Date: Mon, 24 Jan 2022 11:36:24 +0000
> From: "DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog"
> <rsyslog@lists.adiscon.com>
> To: rsyslog-users <rsyslog@lists.adiscon.com>
> Cc: "DESSEAUX Samuel (Gaz Réseau Distribution France)"
> <samuel.desseaux@externe.grdf.fr>
> Subject: Re: [rsyslog] probleme configuration multiport rsyslog
>
> Hello,
>
> Just to complete my message, i keep the following error
>
> Could not create tcp listener, ignoring port 10516 bind-address **UNSPECIFIED**. [v8.2112.0 try https://www.rsyslog.com/e/2077 ]
>
> My configuration is
> # cat rsyslog.conf
> $MaxMessageSize 64k
> # rsyslog configuration file
>
> # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
> # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
>
> #### MODULES ####
>
> # The imjournal module bellow is now used as a message source instead of imuxsock.
> $ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
> $ModLoad imjournal # provides access to the systemd journal
> #$ModLoad imklog # reads kernel messages (the same are read from journald)
> #$ModLoad immark # provides --MARK-- message capability
> # Provides UDP syslog reception
> #$ModLoad imudp
> #$UDPServerRun 514
>
> # Provides TCP syslog reception
> $ModLoad imtcp
> $InputTCPServerRun 514
>
>
> template(name="TmplAuthpriv" type="string"
> string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> template(name="TmplMsg" type="string"
> string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> #module(load="imtcp")
>
> #INPUT
> ruleset(name="flux514"){
> action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
> }
> input(type="imtcp" port="514" ruleset="flux514")
>
>
>
> # process remote messages
> #$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
> #$template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
> #if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs
> #& stop
> #*.* ?RemoteLogs
> #& stop
> #### GLOBAL DIRECTIVES ####
> # Where to place auxiliary files
> $WorkDirectory /var/lib/rsyslog
>
> # Use default timestamp format
> $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
>
> # File syncing capability is disabled by default. This feature is usually not required,
> # not useful and an extreme performance hit
> #$ActionFileEnableSync on
>
> # Include all config files in /etc/rsyslog.d/
> $IncludeConfig /etc/rsyslog.d/*.conf
>
> # Turn off message reception via local log socket;
> # local messages are retrieved through imjournal now.
> $OmitLocalLogging on
>
> # File to store the position in the journal
> $IMJournalStateFile imjournal.state
>
>
> #### RULES ####
>
> # Log all kernel messages to the console.
> # Logging much else clutters up the screen.
> #kern.* /dev/console
>
> # Log anything (except mail) of level info or higher.
> # Don't log private authentication messages!
> #*.info;mail.none;authpriv.none;cron.none /var/log/messages
>
> # The authpriv file has restricted access.
> #authpriv.* /var/log/secure
>
> # Log all the mail messages in one place.
> #mail.* -/var/log/maillog
>
>
> # Log cron stuff
>
> -----Message d'origine-----
> De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog
> Envoyé : mardi 11 janvier 2022 16:05
> À : rsyslog-users <rsyslog@lists.adiscon.com>
> Cc : DESSEAUX Samuel (Gaz Réseau Distribution France) <samuel.desseaux@externe.grdf.fr>
> Objet : Re: [rsyslog] probleme configuration multiport rsyslog
>
> Here is my config
>
> $MaxMessageSize 64k
> # rsyslog configuration file
>
> # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
> # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html
>
> #### MODULES ####
>
> # The imjournal module bellow is now used as a message source instead of imuxsock.
> $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal #$ModLoad imklog # reads kernel messages (the same are read from journald) #$ModLoad immark # provides --MARK-- message capability # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514
>
> # Provides TCP syslog reception
> $ModLoad imtcp
> $InputTCPServerRun 514
>
>
> template(name="TmplAuthpriv" type="string"
> string="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> template(name="TmplMsg" type="string"
> string="/var/log/remote/msg/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
>
> module(load="imtcp")
>
> #INPUT
> ruleset(name="flux514"){
> action(type="omfile" file="/data/log/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log")
> }
> input(type="imtcp" port="514" ruleset="flux514")
>
>
> #$template Remote10515,"/data/log/10515/10515.log"
> #
> ##$RuleSet Remote10515
> ##*.* -?Remote10515
>
> #$InputTCPServerBindRuleset Remote10515
> ##$TCPServerRun 10515
>
>
> #$template Remote10516,"/data/log/10516/10516.log"
> ##
> ###$RuleSet Remote10516
> ###*.* -?Remote10516
> #
> ##$InputTCPServerBindRuleset Remote10516 ###$TCPServerRun 10516 #
>
> # process remote messages
> #$template RemoteLogs,"/data/log/%HOSTNAME%/%PROGRAMNAME%.log"
> $template RemoteLogs,"/data/log/%FROMHOST-IP%/%PROGRAMNAME%.log"
> if ($FROMHOST-IP != "127.0.0.1" ) then -?RemoteLogs #& stop
> *.* ?RemoteLogs
> & stop
> #### GLOBAL DIRECTIVES ####
> # Where to place auxiliary files
> $WorkDirectory /var/lib/rsyslog
>
> # Use default timestamp format
> $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
>
> # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on
>
> # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf
>
> # Turn off message reception via local log socket; # local messages are retrieved through imjournal now.
> $OmitLocalLogging on
>
> # File to store the position in the journal $IMJournalStateFile imjournal.state
>
>
> #### RULES ####
>
> # Log all kernel messages to the console.
> # Logging much else clutters up the screen.
> #kern.* /dev/console
>
> # Log anything (except mail) of level info or higher.
> # Don't log private authentication messages!
> #*.info;mail.none;authpriv.none;cron.none /var/log/messages
>
> # The authpriv file has restricted access.
> #authpriv.* /var/log/secure
>
> # Log all the mail messages in one place.
> #mail.* -/var/log/maillog
>
>
> # Log cron stuff
> #cron.* /var/log/cron
>
> # Everybody gets emergency messages
> #*.emerg :omusrmsg:*
>
> # Save news errors of level crit and higher in a special file.
> #uucp,news.crit /var/log/spooler
>
> # Save boot messages also to boot.log
> #local7.* /var/log/boot.log
>
>
> # ### begin forwarding rule ###
> # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block!
> # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again.
> $ActionQueueFileName fwdRule1 # unique name prefix for spool files
> $ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
> $ActionQueueSaveOnShutdown on # save messages to disk on shutdown
> $ActionQueueType LinkedList # run asynchronously
> $ActionResumeRetryCount -1 # infinite retries if host is down
> # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
> #*.* @@remote-host:514
> # ### end of the forwarding rule ###
>
> In /etc/rsyslog.d, i have created
>
> *one file to indicate on which ports rsyslog can listen
>
> module(load="imtcp")
>
> input(
> type="imtcp"
> port="10514"
> )
>
> input(
> type="imtcp"
> port="10515"
> )
>
> input(
> type="imtcp"
> port="10516"
> )
>
> * a file for a dedicate rule (i've following this page https://supratim-sanyal.blogspot.com/2020/01/a-multi-port-remote-rsyslog-log-server.html?_sm_au_=iVV5vrMvfjN7JZJTKLcHLK0KBjTB6)
>
> An idea? I don't find the way to solve the problem.
>
> Best regards
>
>
> Samuel Desseaux
> Direction des Systèmes d’Information / Domaine Ingénierie / Architecture et Expertise Outillage
> Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr
> www.grdf.fr
>
>
>
> -----Message d'origine-----
> De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog Envoyé : mardi 11 janvier 2022 16:02 À : rsyslog@lists.adiscon.com Cc : Mariusz Kruk <kruk@epsilon.eu.org> Objet : Re: [rsyslog] probleme configuration multiport rsyslog
>
> Firstly, show us your config :-)
>
> Secondly, you use a very old version.
>
> Thirdly, I suspect you're using some form of legacy config and/or blindly copied config snippets.
>
> On 11.01.2022 15:49, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
>> Hello,
>>
>> I need your help for configuring rsyslog for the following use case
>>
>> I have many devices and many technologies and each of them have to send their logs on rsyslog.
>> Due to the context, i have to configure rsyslog in order to collect
>> logs on different ports and send them in a folder
>>
>> For example, logs come from an ip with 10515 port will be stored in
>> /data/log/10515/10515.log
>>
>> But, something is missing in my configuration because, despite of my
>> tests,i find most of the time these errors
>>
>> netstream session 0x7f2c10005170 from 10.XX.X.X.X (all devices are behind a F5) will be closed due to error [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2165 ]
>> Jan 11 14:33:29 xx.XX.XX.com rsyslogd[899]: error: ruleset
>> 'log-collect' specified more than once [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2306 ] Jan 11 14:33:29 xx.XX.XX.com
>> rsyslogd[899]: module 'imtcp' already in this config, cannot be added
>> [v8.24.0-52.el7_8.2 try http://www.rsyslog.com/e/2221 ] Jan 11
>> 14:33:29 xx.XX.XX.com rsyslogd[899]: Could not create tcp listener,
>> ignoring port 10516 bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29 xx.XX.XX.com
>> rsyslogd[899]: Could not create tcp listener, ignoring port 10515
>> bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ] Jan 11 14:33:29xx.XX.XX.com
>> rsyslogd[899]: Could not create tcp listener, ignoring port 514
>> bind-address (null). [v8.24.0-52.el7_8.2 try
>> http://www.rsyslog.com/e/2077 ]
>>
>> Thank you for your help
>>
>> Regards,
>>
>>
>> Samuel Desseaux
>> Direction des Systèmes d'Information / Domaine Ingénierie /
>> Architecture et Expertise Outillage Architecte ELK
>>
>> 95, rue de Maubeuge
>> 75009 Paris - France
>> Tel : 07 49 95 94 14
>> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
>>>
>> www.grdf.fr<http://www.grdf.fr/>
>>
>>
>> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>>
>> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
>> contrôles visant à garantir le respect des directives internes,
>> protéger les intérêts de l'entreprise et éliminer les éventuels
>> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
>> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
>> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
>> personne communiquant avec notre entreprise par message électronique
>> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
>> être vérifiées et sont disponibles sur demande »
>>
>> _______________________________________________
>> rsyslog mailing list
>> https://lists.adiscon.net/mailman/listinfo/rsyslog
>> http://www.rsyslog.com/professional-services/
>> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
>> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.