La syntaxe traditionnelle fonctionne toujours avec la version 8 de rsyslog : *.* @<ADRESSE_IP>
pour envoyer tous les journaux dans un flux syslog sur udp/514. @@
pour un flux tcp/514. Ajouter :<PORT>
pour changer de port.
On peut utiliser des conditions afin de transférer uniquement le journal d'un programme précis. Exemple :
if $programname == 'sudo' then @192.0.2.1
& stop
Et avec la ""nouvelle"" syntaxe ?
if $programname == 'sudo' then {
action(type="omfwd" target="192.0.2.1" protocol="udp" port="514")
stop
}
On notera que la documentation du module omfwd est erronée : les paramètres « protocol » et « port » ne sont pas facultatifs.