Bug 56730

Summary: плагин для audit audisp-syslog не передает данные в rsyslog до перезапуска
Product: Sisyphus Reporter: Богдан Богуславский <boguslavskijbj>
Component: rsyslogAssignee: serjigva <serjigva>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: eltsovga, klark, serjigva, shaba
Version: unstable   
Hardware: x86_64   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=44911

Description Богдан Богуславский 2025-11-05 13:38:43 MSK 
Платформа(Обновлена до Sisyphus):
Alt Server 11.0 x86_64

Версия пакета:
rsyslog-8.2502.0-alt4.1.x86_64

Шаги воспроизведения:
1. Установить audit:
# apt-get install audit
2. Включить плагин:
# echo "active = yes" >> /etc/audit/plugins.d/syslog.conf
3. Включить логгирование:
# sed -e 's/#ForwardToSyslog=no/ForwardToSyslog=yes/' -i /etc/systemd/journald.conf
4. Включить сервисы auditd rsyslog:
# systemctl enable auditd rsyslog
5. Перезагрузить систему
6. После перезагрузки проверить наличие сообщений от audisp-syslog:
# grep audisp-syslog /var/log/messages

Ожидаемый результат:
Наличие сообщений от audisp-syslog

Реальный результат:
Пустой вывод команды

workaround:
# service auditd restart
после чего сообщения от audisp-syslog появляются

Дополнительно: не воспроизводится в p11
Comment 1 Leonid Krivoshein 2025-12-01 14:47:46 MSK 
Настройка выполнена не до конца. Перед шагом 6 следовало выполнить:

mkdir /etc/systemd/system/rsyslog.service.d
cp -Lf /lib/systemd/system/rsyslog.service.d/classic.conf /etc/systemd/system/rsyslog.service.d/
vim /etc/systemd/system/rsyslog.service.d/classic.conf # тут нужные вам изменения

Необходимые изменения можно посмотреть здесь:
https://bugzilla.altlinux.org/show_bug.cgi?id=#c0

И в p11 их можно откатить, они не нужны для систем на systemd. Здесь вообще предпочтительно использовать audisp-remote, а не rsyslog-classic. Эти зависимости постоянно просят менять то в одну, то в другую сторону, всем не угодишь. Нужно просто ориентироваться на systemd.
Comment 2 Leonid Krivoshein 2025-12-01 14:50:54 MSK 
(In reply to Leonid Krivoshein from comment #1)
> Необходимые изменения можно посмотреть здесь:
> https://bugzilla.altlinux.org/show_bug.cgi?id=#c0
https://bugzilla.altlinux.org/show_bug.cgi?id=44911#c0