É mais um hack do que uma solução, mas não consegui encontrar uma maneira "limpa" para resolver o problema:
A carga útil do pacote UDP para mensagens local0.notice sempre será iniciada com um < 133 > valor (16 * 8 + 5 de acordo com rfc3164), enquanto um local5.info mapeia para < 174 > (21 * 8 + 6).
Você pode usar nfqueue + scapy em A para reescrever todas as ocorrências de < 133 > para < 174 > enquanto envia os pacotes no fio e B receberá e registrará mensagens local5.info em vez de local0.notice.
Todos os outros pacotes UDP do syslog não serão afetados e serão registrados normalmente.
Exemplo simples: link
O RFC: link
Script para valores tabulares de PRI: link