我想使用 syslog-ng 将审计数据发送到 syslog trap。它可以工作,但由于我在 auditd.conf 中将 log_format 选项设置为 enriched,因此 /var/log/audit/auditd.log 中的日志包含丰富数据和非丰富数据
type=PATH msg=audit(1713273080.150:8936624): item=0 name="/var/log/audit/.audit.log.swp" inode=2359490 dev=08:01 mode=0100600 ouid=0 ogid=0 rdev=00:00 obj=0:0:0:0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0^]OUID="root" OGID="root"
但是,我的 syslog trap 只接收组分隔符 0x1D (^]) 之前的非丰富部分。我已使用 tcpdump ( sudo tcpdump -i any udp port 5051 -w syslog.pcap ) 测试了流量,据我在生成的 pcap 文件中看到,组分隔符之后的部分未发送。有没有办法让 syslog-ng 发送包括丰富数据在内的整个消息?