如何阻止进程写入 systemd 日志?

如何阻止进程写入 systemd 日志?

我正在使用第三方 .NET Core 应用程序(VS Code 扩展使用的二进制发行版),不幸的是,该应用程序启用了诊断日志记录,但没有明显的方法来禁用它(我已经向作者报告了这一点)。理想的解决方案(除了能够禁用它之外)是,如果我可以指定 systemd 它不应该为该特定程序记录任何内容,但我一直无法找到任何方法来执行此操作。这是迄今为止我尝试过的所有内容:

我尝试的第一件事是重定向stdoutstderr/dev/null: dotnet-app > /dev/null 2>&1。这确实禁用了任何正常输出,但诊断日志记录仍在写入 systemd 日志。

我希望应用程序有一个命令行参数,允许我禁用诊断日志记录。它确实有一个冗长的参数,但经过实验,它似乎只对正常输出有影响,对诊断日志记录没有影响。

通过使用strace并查找对 的调用connect,我发现应用程序将诊断日志直接写入到/dev/log.

该路径/dev/log是 的符号链接/run/systemd/journal/dev-log,因此为了验证我的发现,我将符号链接更改为指向/dev/null。这确实阻止了诊断日志记录出现在 systemd 日志中。

有人告诉我LD_PRELOAD并制作了一个库,用我自己的版本替换了标准connect,在尝试连接到/dev/log.这在我的测试程序中工作正常,但在 .NET Core 应用程序中失败,在connect ENOENT /tmp/CoreFxPipe_1ddf2df2725f40a68990c92cb4d1ff1e.我尝试了我的库,但即使我所做的只是直接将参数传递给标准connect函数,它仍然会失败并出现相同的错误。

然后,我尝试使用 Linux 命名空间来实现它,以便仅/dev/log指向/dev/null.NET Core 应用程序:unshare --map-root-user --mount sh -c "mount --bind /dev/null /dev/log; dotnet-app $@".尽管它再次适用于我的测试程序,但它也因相同的错误而失败。即使只是使用unshare --map-root-user --mount dotnet-app "$@"也会因错误而失败。

接下来,我尝试在应用程序运行时gdb关闭文件描述符。/dev/log这有效,但在一段时间后它会重新打开它。我还尝试将文件描述符更改为指向/dev/null,这也有效,但/dev/log一段时间后它也被重置为 。

我的最后一次尝试是编写自己的 UNIX 套接字,该套接字将过滤掉 .NET Core 应用程序写入的所有内容。这确实有效,但我了解到 PID 是与写入 UNIX 套接字的内容一起发送的,因此传递到 systemd 日志的所有内容都会报告来自支持我的 UNIX 套接字的程序的 PID。

目前,这个解决方案对我来说是可以接受的,因为在我的系统上几乎没有任何用途/dev/log,但我欢迎更好的解决方案。例如,我了解到可以将某些东西欺骗为 UNIX 套接字的 root,但我无法找到更多相关信息。

或者,如果有人可能对为什么LD_PRELOADunshare可能在 .NET Core 应用程序中失败而对写入 的简单 C 测试程序运行良好有任何见解/dev/log

答案1

简而言之,通过LD_PRELOAD覆盖加载您的库系统日志(3)而不是连接(3)。

Unix/dev/log套接字由 syslog(3) glibc 函数使用,该函数连接到它并写入数据。重写 connect(3) 可能不起作用,因为 glibc 内的 syslog(3) 实现将执行 connect(2)系统调用而不是库函数,因此LD_PRELOAD钩子不会捕获来自 syslog(3) 内部的调用。

之间存在脱节strace,它向您显示系统调用,而LD_PRELOAD则可以覆盖库函数(在本例中为 glibc 中的函数)。连接(3)glibc 函数还有一个连接(2)系统调用也有助于解决这种混乱。 (使用 using 可能ltrace会有所帮助,而是显示对 syslog(3) 的调用。)

您可以通过让您的测试程序直接调用 syslog(3) 而不是显式连接到 来确认您所做的覆盖 connect(3)LD_PRELOAD无法与 syslog(3) 一起工作/dev/log,我怀疑这就是 .NET 的方式核心应用程序正在运行。

挂钩到 syslog(3) 也可能更有用,因为处于堆栈中的更高级别,您可以使用该挂钩做出决策,例如有选择地转发一些发送到系统日志的消息。 (您可以使用 glibc 加载 syslog 函数dlsym(RTLD_NEXT, "syslog"),然后可以使用该函数指针调用 syslog(3) 以获取您确实想要从钩子转发的消息。)

/dev/log用符号链接替换 ​​to 的方法/dev/null存在缺陷,因为它/dev/null不接受 connect(2) 操作(仅接受 open(2) 等文件操作),因此 syslog(3) 将尝试连接并收到错误,并以某种方式尝试处理它(或者可能将其返回给调用者),无论如何,这可能会产生副作用。

希望使用LD_PRELOADsyslog(3) 的重写就可以满足您的需求。

相关内容