У меня есть сотни таких записей в журнале:
Feb 13 16:46:56 XXXX kernel: [42982.178922] type=1701 audit(1360799216.852:1514): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000
Feb 13 16:46:56 XXXX kernel: [42982.178943] type=1701 audit(1360799216.852:1515): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=5529 comm="chrome" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f3060b476b0 code=0x50000
Это поведение объясняется здесь: Почему существует «seccomp»? события, связанные с Google Chrome в системном журнале? .
Как перенаправить их из моего файла kern.log
?
Я планирую выяснить этот журнал позже, но у меня есть другие проекты, которые были бы проще с меньшим файлом kern.log
.
Я видел это: Как включить ведение журнала для Google Chrome в Ubuntu 12.04?
Упомянутый файл не находится в моей домашней папке.
Установка по умолчанию. Редактировать: Основные плагины. Единый профиль. Проверял пункт меню и единственную опцию %U
(нет --debug
или что-то в этом роде)
о:
Google Chrome 24.0.1312.69 (Official Build 180721)
OS Linux
WebKit 537.17 (@140072)
JavaScript V8 3.14.5.6
Flash 11.5.31.139
User Agent Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.17 (KHTML, like Gecko)
Chrome/24.0.1312.69 Safari/537.17
Вам нужно настроить свою конфигурацию rsyslog, чтобы обрабатывать эти сообщения по-разному. Например, вы можете создать /etc/rsyslog.d/30-seccomp.conf:
if $msg contains 'comm="chrome" reason="seccomp"' then /var/log/chrome.log
& ~
, а затем:
initctl restart syslog
. Правило гласит, что если сообщение содержит строку, то перешлите его в /var/log/chrome.log. Вторая строка означает, что все, что соответствует первой строке, должно быть удалено.
Если вы просто хотите отбросить все эти сообщения:
if $msg contains 'comm="chrome" reason="seccomp"' then ~
Если используется версия Chrome с открытым исходным кодом (как в версии Ubuntu, установленной с sudo apt-get install chromium-browser
), то для перенаправления журналирования seccomp требуется немного другой фильтр rsyslogd.
Для справки сообщения системного журнала Chromium выглядят следующим образом:
Feb 23 17:33:16 XXX kernel: [507549.071917] type=1701 audit(1393194796.933:3999): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=21016 comm="chromium-browse" reason="seccomp" sig=0 syscall=2 compat=0 ip=0x7f2b40940eb0 code=0x50001
И, опираясь на ответ stsquad, приведем /etc/rsyslog.d/30-seccomp.conf
, который обобщен для работы как с Google Chrome, так и с открытым исходным кодом Chromium:
if $msg contains ' reason="seccomp"' and $msg contains ' comm="chrom' \
then -/var/log/chrome-seccomp.log
& ~
Как насчет сценария взлома grep?
grep -Ev 'chrome' /var/log/kern.log >> /var/log/smaller.kern.log