Доброго времени суток!
Задача в общем смысле стоит следующем - принимать логи в CEF формате и заносить в бд, но ещё до сохранения в БД возникают проблемы.
При приёме и сохранении в файл как RemoteLogs стандартным способом -

$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs
& stop

Rsyslogd видимо применяет встроенный шаблон парсинга и сохраняет вот в таком виде(обрезал с конца)

2025-12-01T15:38:07-05:00 RIO-DZ-16-N1 CEF: 0|R&K|DEZ7000 V2|2.3.4-55|16|Opisanie signatury etc|10|devId=55567 start=1764592626000

То есть он парсит участок "CEF:" видимо как %syslogtag% и вставляет пробел после него. Если эту строку скормить нормализатору как
tail -n 1 ./CEF.log | lognormalizer -e json -r cef2.rb | jq .
где cat cef2.rb
rule=:%date:date-rfc5424% %host:word% %f:cef%%
то выдаёт следующее
{
  "originalmsg": "2025-12-01T15:38:07-05:00 RIO-DZ-16-N1 CEF: 0|R&K|DEZ7000 V2|2.3.4-55|16|Opisanie signatury etc|10|devId=55567 start=1764592626000",
  "unparsed-data": "CEF: 0|R&K|DEZ7000 V2|2.3.4-55|16|Opisanie signatury etc|10|devId=55567 start=1764592626000"
}
Если вручную удалить пробел между CEF: и 0 то выдаёт уже нормально
  "f": {
    "DeviceVendor": "R&K",
    "DeviceProduct": "DEZ7000 V2",
    "DeviceVersion": "2.3.4-55",
    "SignatureID": "16",
    "Name": "Opisanie signatury etc",
    ...

Пробовал прописывать в ruleset
action(type="mmnormalize" rulebase="cef2.rb")
action(type="omfile" file="/var/log/debugcef" template="cefdebug")
но там такая же история - пустые переменные :(
Видимо ещё до модуля mmnormalize в каком то input module вставляется этот пробел и весь парсинг CEF идёт на смарку. Проверял в дампе входящего трафика и там между CEF: и 0 пробела нет!
Уважаемые гуру rsysloga! Есть ли у кого опыт заставить rsyslog принимать CEF логи корректно? Вручную же через lognormalizer всё раскладывается успешно!