Rsyslog 消息的 tcpdump 信息中的奇怪条目

Question

我对 rsyslog 有疑问。它可以用作某些设备的日志收集器。当我检查 TCP 转储时，我看到下面的行即将到来。

Facility user (1), Severity info (6)
    Msg: 1 2014-01-26T15:21:25.345+03:00 XXX_XXX-Node1 [|syslog]
15:21:37.526894 IP (tos 0x0, ttl 245, id 36018, offset 0, flags [none], proto UDP (17), length 708) xxx.syslog > xxx.syslog: SYSLOG, length: 680

长度为 680。在我们升级远程端之前，​​它的长度相同，并且工作正常。除了远程端的版本（日志发送者）没有任何变化但是那里有一个奇怪的 [|syslog] 条目，我看不到该消息。

之前有人遇到过问题吗？你有什么想法为什么会发生？

谢谢 苏纳

Answer 1

默认情况下tcpdump 不会捕获整个数据包。如果您阅读 tcpdump 手册页，您会发现有关 -s 选项的信息，其中显示：

   -s     Snarf snaplen bytes of data from each  packet  rather  than  the
          default  of 65535 bytes.  Packets truncated because of a limited
          snapshot are indicated in the output  with  ``[|proto]'',  where
          proto  is the name of the protocol level at which the truncation
          has occurred...

您的输出包含[|syslog]，表示数据包已被截断。尝试指定一个更大的值（例如，tcpdump -s 1500 ...）。