Я хочу иметь возможность фильтровать определенные записи в системном журнале на моем компьютере с Linux. Например, я хотел бы иметь возможность фильтрации по неудачной или успешной аутентификации пользователя или по доступу к конфиденциальной информации и т.д.
Я считаю, что мне нужно начать с получения списка всех возможных сообщений системного журнала, как это, но для сообщений системного журнала.
Такой список невозможен, так как в отличие от событий Windows (которые имеют статический список идентификаторов, определенный шаблон для каждого идентификатора и содержат только параметры), сообщения системного журнала представляют собой просто текст произвольной формы.
Для перечисления возможных сообщений даже для одной программы потребуется поиск в ее исходном коде вызовов syslog() , которые могут выполняться косвенно через пользовательские функции, через различные библиотеки (например, log4net) или вообще не использовать syslog (например, различные программы используют systemd- функции журнала). Таким образом, это требует определенных знаний об исходном коде каждой программы и не может быть легко автоматизировано в масштабе всего дистрибутива Linux - как это должно быть, так как новые версии могут иметь разные сообщения.
(Журнал systemd имеет необязательные идентификаторы сообщений и файлы каталога, содержащие описания и переводы. Это все еще подписка, и использование редко.)
Действительно, даже списки сообщений о событиях в Windows охватывают только стандартные компоненты ОС и, возможно, такие вещи, как MS Office. Они не могут охватывать все сообщения, которые может регистрировать стороннее программное обеспечение, которые могут устанавливать свои собственные каталоги и идентификаторы событий или даже отправлять сообщения произвольной формы.
