Логгирование

Journalctl

Journalctl по умолчанию сохраняет логи в ОП

Rsyslog

Rsyslog нужен:

• нужны обычные текстовые файлы /var/log/auth.log, /var/log/syslog;
• необходима ротацию логов через logrotate;
• нужно отправлять логи на внешний syslog-сервер (например, в SIEM).

Установка: 

sudo apt install rsyslog
sudo systemctl enable --now rsyslog

Настройка

auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none  -/var/log/syslog
mail.*                  -/var/log/mail.log
cron.*                  -/var/log/cron.log

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

*.* @@syslog.example.com:514

if ($programname == 'sshd' or $programname == 'sudo') then /var/log/security.log
& stop

if ($programname == 'sudo') then /var/log/sudo.log

Для изменения формата сообщений изменяем файл sudo nano /etc/rsyslog.conf 

$template RFC3164fmt,"<%PRI%>%TIMESTAMP% %HOSTNAME% %syslogtag%%msg%\n" #добавляем шаблон
auth,authpriv.*                 /var/log/auth.log;RFC3164fmt #привязываем шаблон к лог файлу

Приоритет syslog считается по формуле facility * 8 + severity. Facility имеет заданные значения, и определяет к какому типу относится событие. Например, facility #0 относится к событиям ядра, а #4 - к событиям систем безопасности.

Severity отвечает за уровень критичности событий, где 0 это максимум(emergency), а уровень 7 - малоинформативные данные, используемые для отладки(debug).

В нашем примере число 38 получается за счет facility 4 и severity 6 (info).