Ich verstehe die Weiterleitung von Journald zu Rsyslog nicht ganz.
Grundsätzlich habe ich es so verstanden, dass die 'Pipeline' folgendermaßen aufgebaut ist:
Kernel-Logs über printk() → /proc/kmesg ← rsyslog → schreibt in Log-Datei gemäß den Regeln in rsyslog.conf
Userspace-Protokolle → /dev/log ← rsyslog → schreibt in die Protokolldatei gemäß den Regeln in rsyslog.conf
Daraus resultieren die verschiedenen Logdateien, wie etwa /var/log/syslog usw.
Wie im rsyslog.conf-Snippet stehen, werden Meldungen der Facility 'user' auch ins Syslog geschrieben und somit doppelt gespeichert, richtig?
#
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
Soweit so klar, wenn ich das richtig verstanden habe.
Allerdings scheint /dev/log verknüpft zu sein mit
$ ls -lah /dev/log
lrwxrwxrwx 1 root root 28 Apr 15 16:30 /dev/log -> /run/systemd/journal/dev-log
Warum das?
Um auf meine eigentliche Frage zurückzukommen. Woher bekommt Journald die Logs? Ich kenne nur systemd-cat. Oder auch aus /dev/log // /run/systemd/journal/dev-log?
Journald leitet die Protokolle an syslog weiter (Standard in Debian gemäßhttps://manpages.debian.org/testing/manpages-de/journald.conf.5.de.html). Sollte nicht jede Nachricht im Syslog dupliziert werden?
Um den Kreis zu schließen: Ich stehe an diesem Punkt, weil ich eine Log Management Umgebung plane und vor der Frage stehe, woher ich meine Logs bekomme.
Ich danke Ihnen schon einmal im Voraus und hoffe, dass Sie mir weiterhelfen können.