Как включить транспортный аудит журнала systemd?
Я изучал ведение журналов в Linux, но я наткнулся на дорожный блок, который застрял в последние несколько дней. Моя цель - переслать журналы с двух Raspberry Pi 3 под управлением OpenSUSE Tumbleweed (aarch64) на мой ноутбук с Ubuntu 17.04. Я использую rsyslog
для выполнения этого, который используется imjournal
в качестве источника, потому что я хочу сохранить журналы в формате json со всеми дополнительными метаданными, предоставленными systemd-journal, и поиграть с этим позже.
Проблема, которую я пытаюсь решить, - это недостаток _TRANSPORT=audit
моего малинового пи. Я перекомпилировал systemd
с audit
поддержкой одного из моих идей Пи, который решил бы проблему, но это не так. Я также добавил audit=1
в командную строку ядра пи и перезагрузил их. Мой ноутбук поддерживает audit
транспорт.
Вот выход journalctl --version
, sudo journalctl --field _TRANSPORT
и cat /proc/cmdline
на моих различных системах.
ноутбук:
$ journalctl --version systemd 232 +PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN $ sudo journalctl --field _TRANSPORT syslog stdout journal audit driver kernel $ cat /proc/cmdline BOOT_IMAGE=/boot/vmlinuz-4.10.0-33-generic.efi.signed root=UUID=cf4dc10b-511a-4369-ad5c-637833244929 ro apparmor=1 security=apparmor
rpi1 (перенастроен systemd
с audit
поддержкой):
$ journalctl --version systemd 234 +PAM +AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD -IDN2 -IDN default-hierarchy=hybrid $ sudo journalctl --field _TRANSPORT stdout kernel journal syslog driver $ cat /proc/cmdline BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6- a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5-part2 disk=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5 resume=/dev/disk/by-id/mmc- ACLCD_0xd02f42e5-part3 quiet splash=silent plymouth.enable=0 swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet audit=1
rpi2 (с оригинальной systemd
настройкой дистрибутива):
$ journalctl --version systemd 234 +PAM -AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL+XZ +LZ4 +SECCOMP +BLKID -ELFUTILS +KMOD -IDN2 -IDN default-hierarchy=hybrid $ sudo journalctl --field _TRANSPORT stdout kernel journal syslog driver cat /proc/cmdline BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6- a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee-part2 disk=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee resume=/dev/disk/by-id/mmc- ACLCD_0xcaf643ee-part3 quiet splash=silent plymouth.enable=0 swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet audit=1
Я не уверен, что мне нужно сделать, чтобы получить доступ к аудиту systemd-journald
на моем rpi. У меня есть auditd.service
и systemd-journald-audit.socket
включен и активен на всех моих системах. Если вам нужна другая информация, просто дайте мне знать, спасибо.
0 ответов на вопрос
Похожие вопросы
-
9
В чем разница между командами "su -s" и "sudo -s"?
-
4
Требуется хороший бесплатный образ Ubuntu Server VMWare
-
4
Каковы различия между основными дистрибутивами Linux? Я замечу?
-
-
6
Просмотр журнала в Windows
-
2
Ограничить использование процессора для Flash в Firefox?
-
2
Как мне заставить мой микрофон работать под Debian GNOME?
-
2
Конки установки - образцы / идеи?
-
3
Каковы различия между оконными менеджерами Linux?
-
2
ThunderBird / Синхронизация освещения с SE k770i
-
4
Файловая система Linux