Платформа(Обновлена до Sisyphus): Alt Server 11.0 x86_64 Версия пакета: rsyslog-8.2502.0-alt4.1.x86_64 Шаги воспроизведения: 1. Установить audit: # apt-get install audit 2. Включить плагин: # echo "active = yes" >> /etc/audit/plugins.d/syslog.conf 3. Включить логгирование: # sed -e 's/#ForwardToSyslog=no/ForwardToSyslog=yes/' -i /etc/systemd/journald.conf 4. Включить сервисы auditd rsyslog: # systemctl enable auditd rsyslog 5. Перезагрузить систему 6. После перезагрузки проверить наличие сообщений от audisp-syslog: # grep audisp-syslog /var/log/messages Ожидаемый результат: Наличие сообщений от audisp-syslog Реальный результат: Пустой вывод команды workaround: # service auditd restart после чего сообщения от audisp-syslog появляются Дополнительно: не воспроизводится в p11
Настройка выполнена не до конца. Перед шагом 6 следовало выполнить: mkdir /etc/systemd/system/rsyslog.service.d cp -Lf /lib/systemd/system/rsyslog.service.d/classic.conf /etc/systemd/system/rsyslog.service.d/ vim /etc/systemd/system/rsyslog.service.d/classic.conf # тут нужные вам изменения Необходимые изменения можно посмотреть здесь: https://bugzilla.altlinux.org/show_bug.cgi?id=#c0 И в p11 их можно откатить, они не нужны для систем на systemd. Здесь вообще предпочтительно использовать audisp-remote, а не rsyslog-classic. Эти зависимости постоянно просят менять то в одну, то в другую сторону, всем не угодишь. Нужно просто ориентироваться на systemd.
(In reply to Leonid Krivoshein from comment #1) > Необходимые изменения можно посмотреть здесь: > https://bugzilla.altlinux.org/show_bug.cgi?id=#c0 https://bugzilla.altlinux.org/show_bug.cgi?id=44911#c0
