その昔 「続オレオレFortiAnalyzer」という記事を書きました。
何故か FortiGate のログの時刻フォーマットに余計なスペース(0x20)が入ってて困るという話。
ががが!!今日見てみたらスペースが入ってなかったのです。あれ?
FortiOS の更新してないのになぜ?あっ、rsyslog から syslog-ng に変えたせいかっ!
ということで、再度 rsyslog で確認してみるとやっぱり date=2015-03-20,time=12: 34:56 となる。
どうやら rsyslog は tag が必須なのかログメッセージの最初のコロン(:)までをタグとして扱い、
tag: msg というフォーマットで書きだすようです。
確かに tcpdump で見ても送られてくるデータにこのスペースは含まれていませんでした。
そう、FortiGate さんのバグではなかったのです。ごめんなさい。
つーことで gem を更新しました。
https://rubygems.org/gems/fluent-plugin-fortigate-log-parser
