A partir do RFC 5424 (que estabelece o protocolo syslog e refere-se ao RFC 3339 para carimbos de data / hora) "1. Introdução" :
This document describes the standard format for syslog messages and
outlines the concept of transport mappings. It also describes
structured data elements, which can be used to transmit easily
parseable, structured information, and allows for vendor extensions.This document does not describe any storage format for syslog
messages. It is beyond of the scope of the syslog protocol and is
unnecessary for system interoperability.
Uma mensagem aqui se refere a o que deve ser registrado, e NÃO ao formato do registro. Por outras palavras: o registro é não a mensagem, e o RFC é sobre a mensagem, não o log.
As coisas que você vê em /var/log/syslog são as mensagens "formato armazenado". Esse formato é determinado pela forma como você configurou seu syslog específico e, como o preâmbulo declara, não há necessidade real de nenhum protocolo, pelo menos no que se refere à "interoperabilidade do sistema".
Os daemons do Syslog podem servir como registradores para vários sistemas. O RFC se destina a definir um padrão de modo que os sistemas compatíveis possam efetuar o log em um syslog remoto, independentemente de qual implementação específica esteja em uso, etc.
O daemon syslog recebendo tais mensagens, então, os grava em um arquivo, mas não os grava textualmente - grava-os de acordo com sua configuração. Se você olhar para o RFC ainda, você notará que existem muitas, muitas maneiras em que /var/log/syslog não está em conformidade. Dê uma olhada no ABNF no início da seção 6 - isso não descreve simplesmente uma linha em um arquivo de log ( observe que o timestamp não é quase o primeiro item!). Este é um formato estruturado para mensagens serializando para transmissão.