Я изучал ведение журналов в Linux, но я наткнулся на дорожный блок, который застрял в последние несколько дней. Моя цель - переслать журналы с двух Raspberry Pi 3 под управлением OpenSUSE Tumbleweed (aarch64) на мой ноутбук с Ubuntu 17.04. Для этого я использую rsyslog который использует imjournal в качестве источника, потому что я хочу сохранить журналы в формате json со всеми дополнительными метаданными, предоставленными systemd-journal, и поиграть с ними позже.
Проблема, которую я пытаюсь решить, - отсутствие _TRANSPORT=audit на моих Raspberry Pi. Я перекомпилировал systemd с поддержкой audit для одного из моих идей Пи, который решил бы проблему, но это не так. Я также добавил audit=1 в командную строку ядра на pi и перезагрузил их. Мой ноутбук поддерживает audit транспорта.
Вот выходные данные journalctl --version , sudo journalctl --field _TRANSPORT и cat /proc/cmdline в моих различных системах.
ноутбук:
$ journalctl --version
systemd 232
+PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS
+KMOD +IDN
$ sudo journalctl --field _TRANSPORT
syslog
stdout
journal
audit
driver
kernel
$ cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-4.10.0-33-generic.efi.signed
root=UUID=cf4dc10b-511a-4369-ad5c-637833244929 ro apparmor=1
security=apparmor
rpi1 (реконфигурированный systemd с поддержкой audit ):
$ journalctl --version
systemd 234
+PAM +AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS
+KMOD -IDN2 -IDN default-hierarchy=hybrid
$ sudo journalctl --field _TRANSPORT
stdout
kernel
journal
syslog
driver
$ cat /proc/cmdline
BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6-
a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5-part2
disk=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5 resume=/dev/disk/by-id/mmc-
ACLCD_0xd02f42e5-part3 quiet splash=silent plymouth.enable=0
swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet
audit=1
rpi2 (с оригинальным systemd настроенным дистрибутивом):
$ journalctl --version
systemd 234
+PAM -AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL+XZ +LZ4 +SECCOMP +BLKID -ELFUTILS
+KMOD -IDN2 -IDN default-hierarchy=hybrid
$ sudo journalctl --field _TRANSPORT
stdout
kernel
journal
syslog
driver
cat /proc/cmdline
BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6-
a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee-part2
disk=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee resume=/dev/disk/by-id/mmc-
ACLCD_0xcaf643ee-part3 quiet splash=silent plymouth.enable=0
swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet
audit=1
Я не уверен, что мне нужно сделать, чтобы транспортный аудит был доступен для systemd-journald на моем rpi. У меня auditd.service и systemd-journald-audit.socket активны во всех моих системах. Если вам нужна другая информация, просто дайте мне знать, спасибо.