我一直在研究这三种日志记录解决方案auditd、syslog、 和journald,但仍然有一些我不清楚的事情。
根据我读到的内容,auditd审计内核中的事件,它对系统有非常深刻和强烈的看法。另一方面,syslog从系统(服务)上的多个来源收集日志,并对它们进行管理和组织。
我的问题:
journald和 和有什么区别auditd?- 我应该将它们全部保存在我的服务器上吗?
- 这些组件中哪些组件协同工作以及如何协同工作?
答案1
1- 正如@jordanm 所说:“Autitd 生成日志,syslog 和journald 收集它们。”
2- 如果您对日志记录有特殊需要,您应该配置它们。
3- Journald是systemd的日志记录,但它可以聚合来自其他来源的日志记录,syslog /rsyslog/syslog-ng可以废弃journald的日志来解析它们并对它们应用本地处理和/或将它们转发到远程syslog服务器。
当然这不是完整的答案,因为您应该看看每个工具是什么。