识别 syslog 文件,auth.log 是否也反映了 /vars/syslog 中的内容?

识别 syslog 文件,auth.log 是否也反映了 /vars/syslog 中的内容?

我正在编写一个 auth 日志解析器,以便为工具做出贡献并更好地学习 Linux 日志。我一直在阅读有关 syslog 和日志设施的资料,想知道 auth.log 中的内容是否也会在 syslog.log 中重复?假设我想要尽可能多的东西,那么只解析 syslog 而不解析其他设施特定的日志文件是否有意义?我想我问的是,是否有可能在 auth.log 中找到一个唯一的日志实例,但它不会包含在 syslog 中?

此外,查看日志文件(例如 auth.log)时,除了日志名称和路径之外,还有其他可靠的方法可以判断正在使用什么工具吗?在处理移动、重命名或删除的日志文件时,只需考虑日志标识的术语。

答案1

阅读man rsyslog.conf并检查/etc/rsyslog.conf/etc/rsyslog.d/*/etc/rsyslog.d/50-default.conf将看到:

# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog

这表明/var/log/auth.log/var/log/syslog没有收到相同的消息。

相关内容