<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Mon, 25 Jun 2018 at 11:21, Lachlan Musicman <<a href="mailto:datakid@gmail.com">datakid@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>I don't understand why this isn't working? I'm not seeing any data in our Balabit appliance.<br><br></div>I
 have a regular default installation of CentOS 7.5, and have followed 
the RedHat 7 rsyslog directions with regard to setting up a new message 
filter:<br><br></div>I've added a singe file to /etc/rsyslog.d/<br><br></div><div>[root@host02 /etc/rsyslog.d]#  cat tcp601.conf<br>*.* action(type="omfwd"<br>queue.type="LinkedList"<br>queue.filename="example_fwd_tcp_601"<br>action.resumeRetryCount="-1"<br>queue.saveonshutdown="on"<br>template="RSYSLOG_SyslogProtocol23Format"<br>target="10.126.19.45" Port="601" Protocol="tcp")<br><br></div>But I'm not getting anything at the appliance? <br><br></div>The
 Appliance Log Source seems to be set up correctly (no licensing issues,
 port 601 is set, Syslog format (I was told that is RFC 5425) selected).</div></div></div></div></blockquote><div><br></div><div>Note that when we change the Appliance Source to legacy instead of Syslog, the above works - but doesn't parse well with that template in rsyslog -- program is listed as <digit> and all other data is in the msg field? Removing the template line does give us a normal "legacy" format. <br><br></div><div>Cheers<br></div><div>L.<br></div></div></div>