Realmente no entiendo el reenvío de Journald a Rsyslog.
Básicamente lo entendí en la forma en que la 'tubería' se construye de la siguiente manera:
El kernel registra a través de printk() → /proc/kmesg ← rsyslog → escribe en el archivo de registro de acuerdo con las reglas en rsyslog.conf
Registros de espacio de usuario → /dev/log ← rsyslog → escribe en el archivo de registro de acuerdo con las reglas en rsyslog.conf
Esto da como resultado varios archivos de registro, como /var/log/syslog, etc.
Al igual que en el fragmento de rsyslog.conf, los mensajes de la instalación 'usuario' también se escriben en syslog y, por lo tanto, se almacenan dos veces, ¿verdad?
#
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
Hasta aquí todo claro, si lo he entendido bien.
Sin embargo, /dev/log parece estar vinculado a
$ ls -lah /dev/log
lrwxrwxrwx 1 root root 28 Apr 15 16:30 /dev/log -> /run/systemd/journal/dev-log
¿Porqué es eso?
Para volver a mi verdadera pregunta. ¿De dónde obtiene Journald los registros? Solo conozco systemd-cat. ¿O también desde /dev/log // /run/systemd/journal/dev-log?
Journald reenvía los registros a syslog (estándar en Debian segúnhttps://manpages.debian.org/testing/manpages-de/journald.conf.5.de.html). ¿No deberían duplicarse todos los mensajes en syslog?
Para cerrar el círculo, estoy en este punto porque estoy planificando un entorno de administración de registros y me enfrento a la pregunta de dónde obtener mis registros.
Te lo agradezco de antemano y espero que puedas ayudarme.