Auditd、Syslog、Journald

Auditd、Syslog、Journald

auditd、、、、syslogこれら3つのロギングソリューションを見てきましたが、journaldまだ明確ではありません。

私が読んだことによれば、auditdカーネルのイベントを監査すると、システムの非常に深くて強力な視点を得ることができます。一方、syslogログはシステム(サービス)のさまざまなソースから収集され、管理およびクリーンアップされます。

私の質問:

  1. journaldこれらとそしての違いは何ですかauditd
  2. 私のサーバーにすべて保存する必要がありますか?
  3. 次のいずれのコンポーネントが連携して動作しますか?

答え1

1- @jordanmが言ったように、「Autitdはログを生成し、syslogとJournaldはログを収集します」

2- ロギングに関する特別な要件がある場合は、これを構成する必要があります。

3- Journaldはsystemdのログですが、他のソースからのログレコードを集計できます。 syslog /rsyslog/syslog-ng は、Journald のログをスクラップして解析し、ローカル処理を適用したり、リモート syslog サーバーに転送したりできます。

もちろん、各ツールが何であるかを見なければならないので、これは完全な答えではありません。

関連情報