Есть ли способ определить, какие демоны регистрируют конкретное средство системного журнала? (спец. rsyslog)
Что я конкретно ищу, так это тех, кто регистрируется в auth. * Severities.
Аудит 2001 года для системного журнала netbsd.
atrun(8) cron.err pid fatal errors
chat(8) local2.err pid ndelay fatal errors
local2.info -v output
comsat(8) daemon.err pid fatal errors
daemon.info log biffs (-l)
daemon.debug debug notices (if debug != 0)
auth.notice / in tty name (might be incorrect code)
cron(8) cron.info pid commands executed
Нет способа определить это априори. То есть вы не можете с пользой изучить двоичный файл и выяснить, какое средство он будет использовать.
Единственный реальный вариант - проанализировать журналы и посмотреть, какие процессы на каком объекте регистрируются. Вы можете упростить это, если rsyslogd либо (а) записывает каждое средство в отдельный файл, либо (б) включает имя средства в сообщения журнала (I считать rsyslog позволит вам это сделать).
«Не совсем» - любой демон может отправлять сообщения в любое средство ведения журнала (если системный журнал прослушивает сетевой сокет, вы также можете добавить к нему «с любого хоста»). Конфигурационные файлы для различных демонов - ваш лучший выбор.
Большинство демонов умеют записывать свое имя в свои журналы - вы можете сделать это путем исключения, если ваш один из тех, кто этого не делает. auth.* также обычно связаны с аутентификацией (логины / пароли), поэтому вы можете еще больше сузить поле ...