我正在编写一个 auth 日志解析器,以便为工具做出贡献并更好地学习 Linux 日志。我一直在阅读有关 syslog 和日志设施的资料,想知道 auth.log 中的内容是否也会在 syslog.log 中重复?假设我想要尽可能多的东西,那么只解析 syslog 而不解析其他设施特定的日志文件是否有意义?我想我问的是,是否有可能在 auth.log 中找到一个唯一的日志实例,但它不会包含在 syslog 中?
此外,查看日志文件(例如 auth.log)时,除了日志名称和路径之外,还有其他可靠的方法可以判断正在使用什么工具吗?在处理移动、重命名或删除的日志文件时,只需考虑日志标识的术语。
答案1
阅读man rsyslog.conf并检查/etc/rsyslog.conf。/etc/rsyslog.d/*您/etc/rsyslog.d/50-default.conf将看到:
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
这表明/var/log/auth.log并/var/log/syslog没有收到相同的消息。