Перенаправление части лога из journald в файл

arcanis	# 11 лет, 11 месяцев назад
Темы: 31 Сообщения: 1496 Участник с: 09 сентября 2012	В общем, тут меня попросили расшарить папочку с музыкой. Стал играться с самбой. Задача такая: убрать кучу различных лог файлов в директории (ибо много их уже набралось), пихнуть запись лога в файл. Плюс озадачился выводом подробного лога - в смысле кто, когда и что делал. Часть конфига, относящаяся к аудиту выглядит таким образом (невозбранно была слита с интернетов): [Music] comment = Music browseable = yes writable = no available = yes public = yes path = /mnt/global/Музыка # For audit vfs object = full_audit full_audit:prefix = %u\|%I full_audit:failure = none full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath full_audit:facility = local5 full_audit:priority = notice В общем то, существуют вполне определенные рекомендации, как перенаправить это добро в отдельный файл. Но проблема заключается в том, что такое для сислога и rsyslogd. А вот для системд я как то не увидел. journalctl -u smbd.service показывает мне, что я там делаю. Есть перенаправление вывода всего содержимого, что меня не устраивает (по сути, нужно только часть юнита отсеивать в файл, а в journald оно мне вообще не нужно) - пилится правкой строки ForwardTo... в /etc/systemd/jounald.conf. PS рекомендация для syslog-ng выглядит так: local5.debug -/var/log/samba/audit.log PPS тему решил создать тут, все таки имеет прямое отношение к системе инициализации PGP 0x31361F01 arcanisrepo

# 11 лет, 11 месяцев назад

Сообщения: 1496

Участник с: 09 сентября 2012

В общем, тут меня попросили расшарить папочку с музыкой. Стал играться с самбой. Задача такая: убрать кучу различных лог файлов в директории (ибо много их уже набралось), пихнуть запись лога в файл. Плюс озадачился выводом подробного лога - в смысле кто, когда и что делал. Часть конфига, относящаяся к аудиту выглядит таким образом (невозбранно была слита с интернетов):

[Music]
   comment = Music
   browseable = yes
   writable = no
   available = yes
   public = yes
   path = /mnt/global/Музыка
#  For audit
   vfs object = full_audit
   full_audit:prefix = %u|%I
   full_audit:failure = none
   full_audit:success = connect disconnect opendir mkdir rmdir closedir open close read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate lock symlink readlink link mknod realpath
   full_audit:facility = local5
   full_audit:priority = notice

В общем то, существуют вполне определенные рекомендации, как перенаправить это добро в отдельный файл. Но проблема заключается в том, что такое для сислога и rsyslogd. А вот для системд я как то не увидел. journalctl -u smbd.service показывает мне, что я там делаю. Есть перенаправление вывода всего содержимого, что меня не устраивает (по сути, нужно только часть юнита отсеивать в файл, а в journald оно мне вообще не нужно) - пилится правкой строки ForwardTo... в /etc/systemd/jounald.conf.
PS рекомендация для syslog-ng выглядит так:

local5.debug  -/var/log/samba/audit.log

PPS тему решил создать тут, все таки имеет прямое отношение к системе инициализации

PGP 0x31361F01
arcanisrepo

nafanja	# 11 лет, 11 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	journalctl -u smbd.service > logfile не то? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

lampslave	# 11 лет, 11 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Тогда уж так: journalctl -u smbd.service \| grep -v "my_login" > logfile

arcanis	# 11 лет, 11 месяцев назад
Темы: 31 Сообщения: 1496 Участник с: 09 сентября 2012	не, это все то конечно. Но хотелось бы по сути, нужно только часть юнита отсеивать в файл, а в journald оно мне вообще не нужно т.е. чтобы писалось сразу в файл в обход журнала. Это в идеале. Ну или хотя бы, чтобы писалось автоматически (хотя, конечно, для этой цели можно демона черкануть) PGP 0x31361F01 arcanisrepo

arcanis

# 11 лет, 11 месяцев назад

Темы: 31

Сообщения: 1496

Участник с: 09 сентября 2012

не, это все то конечно. Но хотелось бы

по сути, нужно только часть юнита отсеивать в файл, а в journald оно мне вообще не нужно

т.е. чтобы писалось сразу в файл в обход журнала. Это в идеале. Ну или хотя бы, чтобы писалось автоматически (хотя, конечно, для этой цели можно демона черкануть)

PGP 0x31361F01
arcanisrepo

lampslave	# 11 лет, 11 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	А если просто syslog включить (они же вроде могут вместе работать) и радоваться готовому audit.log?

sleepycat	# 11 лет, 11 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	включи сислог, и да надеюсь ты знаешь что удит ресурсозатратен, по мне так проще просто кашерно acl назначить. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 11 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

включи сислог, и да надеюсь ты знаешь что удит ресурсозатратен, по мне так проще просто кашерно acl назначить.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

arcanis	# 11 лет, 11 месяцев назад
Темы: 31 Сообщения: 1496 Участник с: 09 сентября 2012	сислог тоже можно включить. Только, как то это не вяжется с минимализмом - 2 программы, выполняющих одинаковую функцию логирования. +Это ж аж еще пара секунд на запуске (или сколько там) (сарказм). В принципе, думаю, что, все же, этот вариант лучше, чем собственный демон. Просто надеялся, что такой комбайн, как systemd имеет какую то подобную не особо документированную (ибо сначала маны листал) функцию sleepycat включи сислог, и да надеюсь ты знаешь что удит ресурсозатратен, по мне так проще просто кашерно acl назначить. да вроде процессор не сильно грузит, по памяти в общем то по барабану, пускай отхавает 200мб (или сколько там). Про acl ничего не слышал, в таком деле абсолютный профан, потому обращался к гуглу за помощью в реализации, а там в основном про vfs и написано. Щас глянул - вроде не то, как бы ограничивать доступ не интересно, интересно кто что тянет и кто что внаглую слушает с моего компа по сети) Причем, скорее, первое, статистика так сказать. PGP 0x31361F01 arcanisrepo

arcanis

# 11 лет, 11 месяцев назад

Темы: 31

Сообщения: 1496

Участник с: 09 сентября 2012

сислог тоже можно включить. Только, как то это не вяжется с минимализмом - 2 программы, выполняющих одинаковую функцию логирования. +Это ж аж еще пара секунд на запуске (или сколько там) (сарказм). В принципе, думаю, что, все же, этот вариант лучше, чем собственный демон. Просто надеялся, что такой комбайн, как systemd имеет какую то подобную не особо документированную (ибо сначала маны листал) функцию

sleepycat
включи сислог, и да надеюсь ты знаешь что удит ресурсозатратен, по мне так проще просто кашерно acl назначить.

да вроде процессор не сильно грузит, по памяти в общем то по барабану, пускай отхавает 200мб (или сколько там). Про acl ничего не слышал, в таком деле абсолютный профан, потому обращался к гуглу за помощью в реализации, а там в основном про vfs и написано. Щас глянул - вроде не то, как бы ограничивать доступ не интересно, интересно кто что тянет и кто что внаглую слушает с моего компа по сети) Причем, скорее, первое, статистика так сказать.

PGP 0x31361F01
arcanisrepo

sleepycat	# 11 лет, 11 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	да нет я не против, просто обычно такой аудит прикручивают к общей папке, мол дал манагерам общий досту на запись через принудительную маску и бывают иногда деруться, мол ктото удалил чужое, а чтобы доступ был у всех все равно требуют. В итоге чтобы показать кто чего сделал и заводится аудит. А тут музыка???? обычно или сам ею рулишь, или права только ro , или просто выдается надежным людям доступ (обычно даже одной учеткой), у которых нет привычки "нечаянно чтото втаскивать или вытаскивать(перетаскивать и "ронять")" из папки проклятым но удобным драг-ынд-дропом фм-а. я к тому что удаление и пр. - дело явное, чем случайное. Учитывая что вы докопались до 1с на старте ))) , не понятно мне, почему вы не докапываетесь к лишним 200м и 10% цпу в жаркий день ))) если оно вам также "нужно" (имхо) , как второй логгер? ЗЫ: увидел обновление, так что все понятно. Если вам и впрям нужен аудит , то ладно. Я просто подумал , что вы им решаете штатную задачу "расследования случая, появления копий на шаре или удалиения явно нужного не вами". Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 11 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

да нет я не против, просто обычно такой аудит прикручивают к общей папке, мол дал манагерам общий досту на запись через принудительную маску и бывают иногда деруться, мол ктото удалил чужое, а чтобы доступ был у всех все равно требуют. В итоге чтобы показать кто чего сделал и заводится аудит. А тут музыка???? обычно или сам ею рулишь, или права только ro , или просто выдается надежным людям доступ (обычно даже одной учеткой), у которых нет привычки "нечаянно чтото втаскивать или вытаскивать(перетаскивать и "ронять")" из папки проклятым но удобным драг-ынд-дропом фм-а. я к тому что удаление и пр. - дело явное, чем случайное. Учитывая что вы докопались до 1с на старте ))) , не понятно мне, почему вы не докапываетесь к лишним 200м и 10% цпу в жаркий день ))) если оно вам также "нужно" (имхо) , как второй логгер?
ЗЫ: увидел обновление, так что все понятно. Если вам и впрям нужен аудит , то ладно. Я просто подумал , что вы им решаете штатную задачу "расследования случая, появления копий на шаре или удалиения явно нужного не вами".

nafanja	# 11 лет, 11 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	Просто надеялся, что такой комбайн, как systemd имеет какую то подобную не особо документированную (ибо сначала маны листал) функцию Это не по системд хранить логи в разных местах. Принцип такой, храним все в одном месте, а если что то нужно посмотреть есть куча параметров которые помогают вытащить нужную инфу. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 11 лет, 11 месяцев назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

Просто надеялся, что такой комбайн, как systemd имеет какую то подобную не особо документированную (ибо сначала маны листал) функцию

Это не по системд хранить логи в разных местах.
Принцип такой, храним все в одном месте, а если что то нужно посмотреть есть куча параметров которые помогают вытащить нужную инфу.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874