Estou escrevendo um analisador de log de autenticação como um meio de contribuir para uma ferramenta e aprender melhor o log de linux. Eu tenho lido em syslog e log instalações e queria saber se o que está em auth.log também será duplicado em syslog.log? Faz sentido apenas analisar o syslog e não outros arquivos de log específicos da instalação, supondo que eu queira o máximo possível? Eu acho que o que estou perguntando é sempre que haverá uma instância de log única encontrada no auth.log que também não será incluída no syslog?
além disso, ao examinar um arquivo de log, como auth.log. Existe uma maneira de dizer que facilidade está sendo usada apenas o nome do log e o caminho. Apenas pensando em termos de identificação de log ao lidar com arquivos de log movidos, renomeados ou excluídos.
Leia man rsyslog.conf e inspecione /etc/rsyslog.conf , /etc/rsyslog.d/* . Em /etc/rsyslog.d/50-default.conf você verá:
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
que mostra que /var/log/auth.log e /var/log/syslog NÃO recebem as mesmas mensagens.