その昔 「続オレオレFortiAnalyzer」という記事を書きました。 何故か FortiGate のログの時刻フォーマットに余計なスペース(0x20)が入ってて困るという話。 ががが!!今日見てみたらスペースが入ってなかったのです。あれ? FortiOS の更新してないのになぜ?あっ、rsyslog から syslog-ng に変えたせいかっ! ということで、再度 rsyslog で確認してみるとやっぱり date=2015-03-20,time=12: 34:56
となる。 どうやら rsyslog は tag が必須なのかログメッセージの最初のコロン(:)までをタグとして扱い、 tag: msg
というフォーマットで書きだすようです。 確かに tcpdump で見ても送られてくるデータにこのスペースは含まれていませんでした。 そう、FortiGate さんのバグではなかったのです。ごめんなさい。 つーことで gem を更新しました。 https://rubygems.org/gems/fluent-plugin-fortigate-log-parser