So aktivieren Sie den Journaldatentransport von systemd

Ich habe Logging unter Linux studiert, bin aber zu einer Straßensperre gekommen, durch die ich mich in den letzten Tagen festgefahren habe. Mein Ziel ist es, Protokolle von zwei Himbeer-Pi 3, die OpenSUSE Tumbleweed (aarch64) ausführen, an meinen Laptop mit Ubuntu 17.04 weiterzuleiten. Ich verwende rsyslog, um dies zu erreichen, was imjournalals Quelle verwendet wird, weil ich die Protokolle im Json-Format mit allen zusätzlichen Metadaten speichern möchte, die vom systemd-journal bereitgestellt werden, und später damit spielen.

Das Problem, das ich ansprechen möchte, ist ein Mangel _TRANSPORT=auditan meinen Himbeer-Pis. Ich rekompilierte systemdmit auditUnterstützung eines meiner Pi, das das Problem lösen würde, aber das hat es nicht getan. Ich habe auch audit=1die Kernel-Befehlszeile auf den Pi hinzugefügt und sie neu gestartet. Mein Laptop unterstützt den auditTransport.

Hier ist die Ausgabe von journalctl --version, sudo journalctl --field _TRANSPORTund cat /proc/cmdline auf meinen verschiedenen Systemen.

Laptop:

$ journalctl --version systemd 232 +PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP  +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS  +KMOD +IDN  $ sudo journalctl --field _TRANSPORT syslog stdout journal audit driver kernel  $ cat /proc/cmdline BOOT_IMAGE=/boot/vmlinuz-4.10.0-33-generic.efi.signed  root=UUID=cf4dc10b-511a-4369-ad5c-637833244929 ro apparmor=1  security=apparmor  

rpi1 ( systemdmit auditUnterstützung umkonfiguriert ):

$ journalctl --version systemd 234 +PAM +AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP  +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS  +KMOD -IDN2 -IDN default-hierarchy=hybrid  $ sudo journalctl --field _TRANSPORT stdout kernel journal syslog driver  $ cat /proc/cmdline BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6- a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5-part2  disk=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5 resume=/dev/disk/by-id/mmc- ACLCD_0xd02f42e5-part3 quiet splash=silent plymouth.enable=0  swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet  audit=1 

rpi2 (mit dem systemdvon der Distribution konfigurierten Original ):

$ journalctl --version systemd 234 +PAM -AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP  +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL+XZ +LZ4 +SECCOMP +BLKID -ELFUTILS  +KMOD -IDN2 -IDN default-hierarchy=hybrid  $ sudo journalctl --field _TRANSPORT stdout kernel journal syslog driver  cat /proc/cmdline BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6- a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee-part2  disk=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee resume=/dev/disk/by-id/mmc- ACLCD_0xcaf643ee-part3 quiet splash=silent plymouth.enable=0  swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet  audit=1 

Ich bin mir nicht sicher, was ich tun muss, um den Audit-Transport für systemd-journaldmeine Rpi zur Verfügung zu stellen. Ich habe das auditd.serviceund systemd-journald-audit.socketauf allen meinen Systemen aktiviert und aktiv. Wenn Sie weitere Informationen benötigen, lassen Sie es mich wissen, danke.