Я пишу синтаксический анализатор журнала авторизации как способ внести свой вклад в инструмент и лучше изучить логирование Linux. Я читал о средствах syslog и log, и мне было интересно, будет ли дублироваться то, что находится в auth.log, в syslog.log? Имеет ли смысл только анализировать системный журнал, а не файлы журналов, относящиеся к другим средствам, при условии, что я хочу столько, сколько могу получить? Я предполагаю, что я спрашиваю, есть ли когда-нибудь уникальный экземпляр журнала, найденный в auth.log, который также не будет включен в syslog?
, кроме того, при просмотре файла журнала, такого как auth.log. Есть ли верный способ сообщить, какое средство используется, кроме имени журнала и пути. Подумайте только об условиях идентификации журналов при работе с перемещенными, переименованными или удаленными файлами журналов.
Читайте man rsyslog.conf
и осмотрите /etc/rsyslog.conf
, /etc/rsyslog.d/*
. В /etc/rsyslog.d/50-default.conf
Вы будете видеть:
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
, который показывает, что /var/log/auth.log
и /var/log/syslog
НЕ получают те же сообщения.