мой центральный сервер системного журнала, кажется, отбрасывает удаленные сообщения

Я добавил удаленную опцию в / etc / sysconfig / syslog SYSLOGD_OPTIONS = "- m0 -r" и перезапустил, и он определенно прослушивает порт syslog;

# netstat -lnu | grep 514
udp        0      0 0.0.0.0:514                 0.0.0.0:*  

Я даже могу перехватить входящий системный журнал с помощью tcpdump dst-порта 514;

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:57:34.626128 IP 07701.com.syslog > i1106.com.syslog: SYSLOG user.critical, length: 75
19:57:56.254679 IP 07701.com.syslog > i1106.com.syslog: SYSLOG local5.critical, length: 76

Однако предупреждения системного журнала никогда не попадают в файл журнала, tail -f / var / log / message / var / log / remote

в верхней части имеющейся у меня машины syslogger;

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console
*.*                                     /var/log/remote.log

файл был создан и в нем есть локальные записи.

Есть предложения по поводу того, что я делаю неправильно?

РЕДАКТИРОВАТЬ: кажется, что остановка брандмауэра позволяет сообщениям проходить, поэтому я явно что-то странное с конфигурацией iptables, которая блокирует эти сообщения;