Debian 12 및 rsyslog 8.2302(TLS 원격 syslog용)를 설치한 후 의류 로그(또는 모든 감사 로그)가 원격으로 전송되지 않는 것을 확인했습니다.
로컬 시스템을 확인한 후 Journald에는 모든 감사 및 의류 로그가 포함되어 있지만 rsyslog는 그 중 어떤 것도 선택하지 않습니다. 다른 모든 일반 로그는 rsyslog에서 볼 수 있습니다.
ForwardToSyslog=yes주석을 제거했지만 아무런 /etc/systemd/journald.conf차이가 없는 것 같습니다.
/etc/rsyslog.conf
# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html
#################
#### MODULES ####
#################
module(load="imuxsock") # provides support for local system logging
module(load="imklog") # provides kernel logging support
###########################
#### GLOBAL DIRECTIVES ####
###########################
#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog
# TLS Certificate files
$DefaultNetstreamDriverCAFile /etc/rsyslog.d/logserver.crt # Server Certificate or CA
$DefaultNetstreamDriverCertFile /etc/rsyslog.d/selfsigned.crt # Client Certificate
$DefaultNetstreamDriverKeyFile /etc/rsyslog.d/selfsigned.key # Client Key
# TLS Sending Configuration
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode x509/name # server is NOT authenticated
#
# TLS Remote Logging Rule
#
*.* @@192.168.3.2:6514
Debian 11에서는 의류 로그가 문제 없이 rsyslog에 의해 전달됩니다. 또한 원격 라인을 로 변경하려고 시도했지만 재부팅한 후 파일에 감사 또는 Apparmor 로그가 표시되지 않았습니다(다른 모든 시스템 로그는 표시되었지만...) rsyslog.conf.*.* /var/log/syslog
이 새 버전의 기본 설치에서 rsyslog가 제거되었다는 것을 알고 있습니다. rsyslog를 다시 활성화하여 감사(의류) 로그를 보고 보내려면 어떻게 해야 합니까?