O suporte é misto. Alguns dispositivos suportam ambos, alguns apenas um e alguns novamente, nenhum deles (IOS-XR, que é um pouco curto da parte deles). É realmente até as unidades de negócios (infelizmente).
Dito isso, descubro que 90% dos clientes e fornecedores ainda usam o RFC 3164 . RFC 5424 pode ser considerado "melhor", pois torna os eventos mais fáceis de analisar no final do recebimento , mas por alguma razão, a indústria simplesmente não adotou isso.
Eu publiquei um artigo sobre o Cisco.com há pouco tempo no gerenciamento de syslog que pode ajudá-lo: Construindo Soluções de Gerenciamento de Syslog Escaláveis