it-swarm.com.de

Journalctl und Syslog: Wie funktioniert es eigentlich?

Es fällt mir schwer zu verstehen, wie die Protokollierung unter Linux funktioniert.

Seit der Aufnahme von systemd scheint es ein bisschen einfacher zu sein, aber ich habe immer noch ein paar Konzepte, die ich immer noch nicht vollständig verstehen kann.

Bei einem System mit journalctl möchte ich einige Protokollnachrichten an einen Remote-Host senden. Zu diesem Zweck habe ich rsyslog installiert und freeradius so konfiguriert, dass es seine Protokolle an local3 ausgibt, und dann rsyslog so konfiguriert, dass diese Nachrichten unter local3 an den Remote-Syslog-Server weitergeleitet werden. Werden die Systemprotokolle nun von rsyslog und journalctl gemeinsam genutzt? Kann dies zu Konflikten jeglicher Art führen?

Abgesehen davon: Wer kontrolliert, was in/var/log/messages geschrieben wird? und wie kann eine bestimmte App ihre Protokolle in diese Datei ausgeben? Wird es von rsyslog verwaltet? Mit systemd?

Wenn mir jemand helfen kann, den gesamten Linux-Protokollierungsdienst zu verstehen, wäre es nett.

3
RedNano

Die Verbindung (en) zwischen journald und rsyslog wird auf der rsyslog-Seite durch die Verwendung seiner Eingabe- und Ausgabemodule gesteuert; Es gibt ein imjournal und ein omjournal zum Lesen bzw. Schreiben in das Journal.

Wenn Sie also etwas in rsyslog schreiben, wird es nur in journald angezeigt, wenn Sie das Modul omjournal konfiguriert haben.

rsyslog "besitzt" /var/log/messages, die übliche Syslog-API ermöglicht es Anwendungen, darauf zu schreiben. Journalnachrichten können auch dort landen, wenn das Modul imjournal konfiguriert ist.

Diese kurze RHEL-Anleitung erklärt die Dinge ziemlich ähnlich.

5
bodgit

Systeme mit journalctl sind Journalling-Systeme, dh sie haben journal verwendet, um mit allen Syslog-Einträgen zu arbeiten. Standardmäßig schreiben diese Systeme keine Protokolle in/var/log/secure,/var/log/maillog// var/log/messages ...

Systeme mit rsyslog schreiben Syslog-Einträge in bestimmte Dateien in der Direktive/var/log. Einstellungen zu diesen Einträgen (welche Protokolle in welchen Dateien protokolliert werden) werden in /etc/rsyslog.conf geschrieben

Beide verwenden das Syslog-Protokoll, können es jedoch gemeinsam nutzen. Es ist also in Ordnung, wenn Sie rsyslog und journalctl problemlos auf demselben Computer verwenden.

0
manka_272