監査ロギングの違い:JournaldとRsyslog

監査ロギングの違い:JournaldとRsyslog

Debian 12およびrsyslog 8.2302(TLSリモートsyslog用)をインストールした後、衣類ログ(またはすべての監査ログ)がリモートで送信されないことを確認しました。

ローカルシステムを確認した後、Journaldにはすべての監査と衣類のログが含まれていますが、rsyslogはそれらのどれも選択しません。他のすべての一般ログはrsyslogで見ることができます。

ForwardToSyslog=yesコメントを削除しても/etc/systemd/journald.conf違いはないようです。

/etc/rsyslog.conf

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html
#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support

###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

# TLS Certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/logserver.crt          # Server Certificate or CA
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/selfsigned.crt       # Client Certificate
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/selfsigned.key        # Client Key

# TLS Sending Configuration
$DefaultNetstreamDriver gtls                    # use gtls netstream driver
$ActionSendStreamDriverMode 1                   # require TLS for the connection
$ActionSendStreamDriverAuthMode x509/name       # server is NOT authenticated

#
# TLS Remote Logging Rule
#
*.* @@192.168.3.2:6514

Debian 11では、服のログは問題なくrsyslogによって配信されます。また、リモート行をに変更しようとしましたが、再起動後にファイルに監査ログまたはApparmorログが表示されませんでした(他のすべてのシステムログは表示されましたが...)rsyslog.conf*.* /var/log/syslog

この新しいバージョンのデフォルトインストールからrsyslogが削除されたことがわかります。 rsyslogを再度有効にして監査(衣類)ログを表示および送信するにはどうすればよいですか?

関連情報