Вопрос или проблема
Я использую logcheck для мониторинга моего Raspberry Pi, который открыт в интернете. Начиная с Debian 12 Bookworm, большинство файлов журналов больше не находятся в /var/log, а вместо этого собираются в журнале systemd.
Я бы хотел протестировать свои правила на этом журнале, но не могу найти нужную команду.
Ранее я использовал такие команды, как:
egrep -f /etc/logcheck/ignore.d.server/local-rules /var/log/*
или
logcheck-test -l /var/log/* -r /etc/logcheck/ignore.d.server/local-rules
Кто-нибудь знает, как это сделать с журналом systemd?
Ответ или решение
Для мониторинга вашего Raspberry Pi, подключенного к интернету, вы используете инструмент logcheck, который позволяет отслеживать системные журналы и фильтровать их в соответствии с заданными правилами. С переходом на Debian 12 Bookworm, большинство логов теперь хранятся в журнале systemd, а не в традиционном каталоге /var/log. Рассмотрим, как протестировать ваши правила logcheck на данных из systemd journal.
-
Обзор проблемы:
Существующий подход, основанный на применении команд egrep или logcheck-test к логам в /var/log, больше не применим из-за изменения расположения логов. Теперь они хранятся в journalctl — это утилита для работы с системным журналом systemd. -
Фаза Exploration — Идеи решения:
Поскольку systemd собирает логи в собственный двоичный формат, необходимо использовать journalctl для извлечения и фильтрации данных. -
Разработка плана действий:
- Экспорт журнала: Используйте journalctl для извлечения логов в текстовом формате, чтобы применить уже известные правила logcheck.
journalctl -o short-iso > /tmp/systemd-journal.logЭта команда экспортирует журналы в формат с отметкой времени ISO в файл
/tmp/systemd-journal.log.
-
Тестирование правил с logcheck-test: После выгрузки логов в текстовый файл, примените ваши существующие правила logcheck.
logcheck-test -l /tmp/systemd-journal.log -r /etc/logcheck/ignore.d.server/local-rulesЭто позволит протестировать правила на выгруженных данных.
- Свежий взгляд — оптимизация процесса:
Чтобы автоматизировать процессы выгрузки и проверки, можно создать shell-скрипт или системное задание, которое будет периодически выполнять выгрузку логов и тестирование правил logcheck.
Закрепляя подходы FOREST-фреймворка:
- Прямая формулировка проблемы подчеркивает изменение в системе хранения логов.
- Извлечение данных посредством journalctl — это решение, содержащее актуальные детали.
- Этапы выполнения включают все аспекты от извлечения до теста на соответствие, следуя пути к эффективному мониторингу.
- Постоянное улучшение и автоматизация процесса ведет к оптимальной работе скриптов и быстрой адаптации к изменениям в будущих системах.
Этот метод обеспечивает соответствие вашей системы безопасности современным требованиям, помогая защитить ваш Raspberry Pi от внешних угроз.