Я беру события системного журнала из проприетарного приложения. Это может быть ошибка приложения или rsyslogd.
События записываются так:
Aug 15 16:00:00 10.11.12.13 Event1 from this wonderful product using this odd
Aug 15 16:01:00 10.11.12.13 format. Event2 from this wonderful product using
Aug 15 16:02:00 10.11.12.13 this odd format. Event3 from this wonderful produ
Aug 15 16:03:00 10.11.12.13 ct using this odd format.
вы поняли. Каждая запись в системном журнале составляет ~ 2000 символов.
Я не уверен, что это проблема из-за плохо определенного характера системного журнала TCP?
Есть ли у любого эксперта по rsyslogd или syslog TCP какие-либо советы относительно того, где может быть проблема? Возможно ли, что я могу что-то сделать на стороне rsyslogd, чтобы это исправить? Или это нормальный бардак для состояния системного журнала TCP?
rsyslogd не настроен на такой разрыв строк. Можно использовать шаблоны формата журнала, но я не уверен, что они позволяют разрывать строки таким образом. Скорее всего, это то, что приложение отправляет в rsyslogd.
Вы можете попытаться перехватить связь через порт и проверить, что отправляется (tcpdump -s 0 -A port 514).
Другой тест - использовать logger написать действительно длинную строку. В моих тестах rsyslogd записал его как одну строку (без переноса).