Hi, scheint ein gut abgehangenes Problem zu sein - z. B. findet man https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/479592 wo beschrieben wird, dass der Kernel-Timestamp zur Nachricht zählt (da er nach dem ":" kommt), und man den KeepKernelTimeStamp off wegmachen kann. Und dann kann es noch sein, dass das Leerzeichen am Anfang stört.
Entweder machst du den Timestamp weg und nimmst ggf. das Leerzeichen in deine Regeln auf, oder du nimmst regexp statt startswith (https://www.rsyslog.com/doc/v8-stable/configuration/filters.html?highlight=regex) und formulierst die regulären Ausdrücke so, dass Timestamp und Leerzeichen egal sind - langfristig vermutlich der stabilere Weg, kostet mehr CPU (sollte aber m. E. kaum relevant sein bei den zuhause typischerweise anfallenden Log-Mengen). Carsten
