Странный вход в tcpdump для Rsyslog Сообщение

Question

У меня проблема с rsyslog.It работает как сборщик журналов для некоторых устройств. Когда я проверяю с дампом TCP, я вижу, что строка ниже.

Facility user (1), Severity info (6) 
    Msg: 1 2014-01-26T15:21:25.345+03:00 XXX_XXX-Node1 [|syslog] 
15:21:37.526894 IP (tos 0x0, ttl 245, id 36018, offset 0, flags [none], proto UDP (17), length 708) xxx.syslog > xxx.syslog: SYSLOG, length: 680 

Длина 680. Перед тем, как мы обновили удаленный конец, она была такой же, и она работала нормально. Ничего не изменилось, кроме версии удаленного конца (отправитель журнала). Но там есть странная запись [| syslog], и я не вижу сообщение.

Неужели кто-нибудь до этого попал? У вас есть идеи, почему это может произойти?

Благодаря Suner

Answer 1

По умолчанию tcpdump не захватывает весь пакет. Если вы читаете страницу tcpdump людей, вы найдете информацию о -s варианте, в котором говорится:

-s  Snarf snaplen bytes of data from each packet rather than the 
      default of 65535 bytes. Packets truncated because of a limited 
      snapshot are indicated in the output with ``[|proto]'', where 
      proto is the name of the protocol level at which the truncation 
      has occurred... 

Ваш вывод содержит [|syslog], который указует пакет был усечен. Попробуйте указать большее значение (например, tcpdump -s 1500 ...).