FortiGate さんごめんなさい、悪いのは rsyslog でした

その昔 「続オレオレFortiAnalyzer」という記事を書きました。
何故か FortiGate のログの時刻フォーマットに余計なスペース(0x20)が入ってて困るという話。

ががが!!今日見てみたらスペースが入ってなかったのです。あれ?

FortiOS の更新してないのになぜ?あっ、rsyslog から syslog-ng に変えたせいかっ!

ということで、再度 rsyslog で確認してみるとやっぱり date=2015-03-20,time=12: 34:56 となる。
どうやら rsyslog は tag が必須なのかログメッセージの最初のコロン(:)までをタグとして扱い、
tag: msg というフォーマットで書きだすようです。

確かに tcpdump で見ても送られてくるデータにこのスペースは含まれていませんでした。

そう、FortiGate さんのバグではなかったのです。ごめんなさい。

つーことで gem を更新しました。
https://rubygems.org/gems/fluent-plugin-fortigate-log-parser