>>166
レスサンクス!
でもごめんなさい、UTMスレなのでSophos UTM9設定の質問でした

ESXiやアライドSWなどLan側(172.16.0.0/24)のsyslogは
centos上のrsyslogで拾えて、毎日ローテーションでログ圧縮までなんとか出来てます

ネットワークプロテクション―NAT―新規NATルールから
ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、
トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ

と、それっぽいのを入れてみたのですが・・・
syslogサーバで、tcpdump -i any --nn port 514と打っても
Lan側にあるESXiなどからのsyslogのパケットしか見えません

ファイアウォールのルールも色々イジってもダメでした
何か大きな見落としをしてそうなのですが、初心者なので理解が足りてないと思います

ちなみにルータはヤマハのNVR510です