Eu realmente não entendo o encaminhamento do Journald para o Rsyslog.
Basicamente eu entendi da forma como o 'pipeline' é construído da seguinte forma:
O kernel registra por meio de printk() → /proc/kmesg ← rsyslog → grava no arquivo de log de acordo com as regras em rsyslog.conf
Logs do espaço do usuário → /dev/log ← rsyslog → grava no arquivo de log de acordo com as regras em rsyslog.conf
Isso resulta em vários arquivos de log, como /var/log/syslog etc.
Como no trecho rsyslog.conf, as mensagens do recurso 'usuário' também são gravadas no syslog e, portanto, armazenadas duas vezes, certo?
#
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
Até aí tudo claro, se entendi direito.
No entanto, /dev/log parece estar vinculado a
$ ls -lah /dev/log
lrwxrwxrwx 1 root root 28 Apr 15 16:30 /dev/log -> /run/systemd/journal/dev-log
Por que é que?
Para voltar à minha verdadeira pergunta. Onde o Journald obtém os logs? Eu só conheço o systemd-cat. Ou também de /dev/log // /run/systemd/journal/dev-log?
Journald encaminha os logs para o syslog (padrão no Debian de acordo comhttps://manpages.debian.org/testing/manpages-de/journald.conf.5.de.html). Todas as mensagens não deveriam ser duplicadas no syslog?
Para fechar o ciclo, estou neste ponto porque estou planejando um ambiente de gerenciamento de logs e me deparo com a questão de onde obter meus logs.
Desde já agradeço e espero que você possa me ajudar.