Logging 如何破译从syslog ng到syslog的通信量

我有一个集中式syslog ng系统，它接收来自不同服务器的提要，并将其存储。幸运的是，我是前瞻性的，每个系统都有自己的端口，这有助于我划分哪些流量是哪个

我需要将一些流量发送到运行rsyslogd的网络传感器。但那个传感器只监听514，我无法改变。但我需要rsyslogd盒能够分离流量，并知道它最初来自何处，这样我就可以应用正确的重写并发送到传感器上的软件，基本上，将其全部模板化

---

我该怎么做？我知道syslog ng框上有标记，但据我所见，这实际上不适用于出站UDP流量

如果使用UDP，则可以使用syslog ng的欺骗源选项。它需要一个用libnet编译的syslog ng包。有关详细信息，请查看位于

的文档，谢谢您的回复。我试过这个。我设置了spoof sourceyes，并使用-enable spoof source标志重新编译了syslog ng。我还尝试在syslog ng端的消息中添加一个标记，然后在rsylog.d端的.conf文件中使用if$msg包含'mytag'，但这似乎不起作用。我可以tcpdump流量并在消息中看到标记，但是rsyslogd没有提取流量并将其放入我想要的日志文件中。嗨，很遗憾，默认情况下，标记不是消息的一部分。要将标记发送到目标，必须将它们显式地放入目标模板中。