Идентифицируя файлы системного журнала, также отражает ли auth.log, что находится в / vars / syslog?
Я пишу синтаксический анализатор журнала авторизации как способ внести свой вклад в инструмент и лучше изучить логирование Linux. Я читал о средствах syslog и log, и мне было интересно, будет ли дублироваться то, что находится в auth.log, в syslog.log? Имеет ли смысл только анализировать системный журнал, а не файлы журналов, относящиеся к другим средствам, при условии, что я хочу столько, сколько могу получить? Я предполагаю, что я спрашиваю, есть ли когда-нибудь уникальный экземпляр журнала, найденный в auth.log, который также не будет включен в syslog?
, кроме того, при просмотре файла журнала, такого как auth.log. Есть ли верный способ сообщить, какое средство используется, кроме имени журнала и пути. Подумайте только об условиях идентификации журналов при работе с перемещенными, переименованными или удаленными файлами журналов.
1 ответ
Читайте man rsyslog.conf и осмотрите /etc/rsyslog.conf, /etc/rsyslog.d/*. В /etc/rsyslog.d/50-default.conf Вы будете видеть:
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
, который показывает, что /var/log/auth.log и /var/log/syslog НЕ получают те же сообщения.