Debian 12およびrsyslog 8.2302(TLSリモートsyslog用)をインストールした後、衣類ログ(またはすべての監査ログ)がリモートで送信されないことを確認しました。
ローカルシステムを確認した後、Journaldにはすべての監査と衣類のログが含まれていますが、rsyslogはそれらのどれも選択しません。他のすべての一般ログはrsyslogで見ることができます。
ForwardToSyslog=yes
コメントを削除しても/etc/systemd/journald.conf
違いはないようです。
/etc/rsyslog.conf
# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html
#################
#### MODULES ####
#################
module(load="imuxsock") # provides support for local system logging
module(load="imklog") # provides kernel logging support
###########################
#### GLOBAL DIRECTIVES ####
###########################
#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog
# TLS Certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/logserver.crt # Server Certificate or CA
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/selfsigned.crt # Client Certificate
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/selfsigned.key # Client Key
# TLS Sending Configuration
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode x509/name # server is NOT authenticated
#
# TLS Remote Logging Rule
#
*.* @@192.168.3.2:6514
Debian 11では、服のログは問題なくrsyslogによって配信されます。また、リモート行をに変更しようとしましたが、再起動後にファイルに監査ログまたはApparmorログが表示されませんでした(他のすべてのシステムログは表示されましたが...)rsyslog.conf
。*.* /var/log/syslog
この新しいバージョンのデフォルトインストールからrsyslogが削除されたことがわかります。 rsyslogを再度有効にして監査(衣類)ログを表示および送信するにはどうすればよいですか?