rsyslog がインストールされている環境で SEP デーモンや OS の再起動を繰り返すと、/etc/rsyslog.conf ファイルが意図せず編集される。

例えば以下のようなコマンドを実行すると、/etc/rsyslog.conf ファイルの末尾から数行が削除される:

(お客様から提供された /etc/rsyslog.conf の末尾の初期状態。全角スペースが含まれています)

# ### sample forwarding rule ###
　#action(type="omfwd"
　# An on-disk queue is created for this action.
# down, messages are spooled to disk and sent when it is up again.
　#queue.filename="fwdRule1" # unique name prefix for spool files
　#queue.maxdiskspace="1g" # 1gb space limit (use as much as possible)
　#queue.saveonshutdown="on"

# The following is required for Symantec Host IDS - Do not edit or remove
*.info;mail.err;mark.none |/var/log/ids_syslog.pipe

以下のコマンドを 2 回または 3 回実施する。

/usr/lib/symantec/stop.sh
systemctl stop rsyslog.service
systemctl start rsyslog.service
/usr/lib/symantec/start.sh

以下は、上記コマンド実行後の /etc/rsyslog.conf の最後の部分です。"An on-disk queue is create" 以降の文字が消え、SEP が追加した 2 行が表示されています。

# ### sample forwarding rule ###
　#action(type="omfwd"
　# An on-disk queue is create
# The following is required for Symantec Host IDS - Do not edit or remove
*.info;mail.err;mark.none |/var/log/ids_syslog.pipe

• Red Hat Enterprise Linux 8.1 (4.18.0-147)
• SEP 14.3 RU4  (14.3.2167.4000) 

rsyslog.conf ファイルにマルチバイト文字列が含まれているため。

rsyslog.conf からマルチバイトの文字列を削除してください。

[英語文書] SEP service unnecessarily strips the end of rsyslog.conf