Я ищу способ получать сообщения журнала для таких событий, как включение или отключение служб с помощью systemctl. С помощью
/bin/journalctl --utc -x -o json -f -t systemd -S now | jq .MESSAGE
запуск и остановка видимы, но даже при LogLevel=debug в /etc/systemd/system.conf включение и отключение не регистрируются.
Есть идеи?
Эти действия не регистрируются, так как они просто редактируют конфигурацию в /etc , и systemctl часто делает это сам, полностью обходя systemd (то, "включен" ли модуль, определяется по его символической ссылке в /etc/systemd/system/multi-user.target.wants/ или другой подобный каталог).
Чтобы узнать, какие службы были включены и когда, используйте глобальное программное обеспечение для отслеживания конфигурации, такое как etckeeper, или включите правила аудита для /etc /systemd через auditctl .