Comment réserver à un seul fichier des logs en provenance d'une application donnée
Bonjour,
Je teste l'application natlog sur Bullseye.
Comme son nom l'indique, elle loggue le détail de connexions NATées
avec des lignes comme:
NATLOG: from 1338990672:55588 thru 1338990747:807100 (UTC): tcp
192.168.19.72:4467 (via: 129.125.90.132:4467) to
to 200.49.219.180:443; sent: 802, received: 7669
Ces lignes se distinguent des autres par le préfixe NATLOG: en début de ligne.
Mon soucis premier, pour des raisons de:
1. maîtrise de l'espace disque
2. de confidentialité
3. d'appliquer une politique de rétention spécifique (1 an pour les
données de natlog, 7 jours pour le reste)
est dans dans un premier d'éviter que ces lignes soient répétées dans
les différents journaux de log, qu'ils soient binaires ou textuels.
En particulier, par défaut, la commande journalctl m'affiche ces
lignes NATLOG. J'imagine qu'elles sont donc présentes dans les
fichiers du répertoire /var/log/journal.
D'autre part, j'observe la présence de ces lignes dans les fichiers
daemon.log et syslog.
J'imagine deux voies:
A. Paramétrer rsyslog pour dupliquer une fois de plus ces données en
les consignant dans un fichier à part, et appliquer une rétention
spécifique sur ce fichier (avec logrotate)
B. Paramétrer les outils de log (journal ? rsyslogd ?) pour qu'ils
ignorent ces lignes dans leurs propres journaux (est-ce simplement
possible ?) tout en les mettant à disposition des autres daemons de
log en aval.
Que conseillez-vous ?
Slts
Reply to: