Journal - чего ожидать?

[Olej]

Journal - это ещё одна выдумка Ленарта Потеринга (Lennart Poettering), система системного журнала взамен существующим. Причём как неотъемлемая составная часть другой выдумки - systemd.

Об этом я уже много писал здесь в форуме, повторяться не хочется.
Но нужно разобраться:
- насколько вероятно, что эта система журналирования полностью вытеснит привычные?
- что несёт нового в использовании для администратора и пользователя (не что там нового понавыдумывали? а чем это обернётся в использовании).

[Olej]

Смотрю начиная от одного из первых сообщений - http://lin.in.ua/news/2011-11-18/2392-R ... yslog.html ...

Первую экспериментальную реализацию Journal планируется интегрировать в дистрибутив Fedora 17.

Код: Выделить всё

bash-4.2$ cat /etc/fedora-release
Fedora release 17 (Beefy Miracle)
bash-4.2$ cat /etc/system-release
RFRemix release 17 (Beefy Miracle)

Ключевой особенностью Journal является использование криптографических средств для гарантирования неизменности и целостности накопленных логов. Как правило, первым делом после взлома злоумышленники пытаются замести следы и почистить выдающие их активность записи из системных логов. Используемые в настоящее время реализации службы syslog беспомощны перед такими действиями. В Journal для решения данной задачи планируется задействовать средства обеспечения целостности, похожие на те, что используются в Git. Для каждой записи в журнале будет сопоставлен хэш, который по цепочке будет охватывать хэш каждой предыдущей записи. Используя отдельно сохранённый эталонный начальный хэш, который недоступен атакующему (без этого хэша нет возможности воссоздать всю цепочку подтверждений), можно легко проверить неизменность всего лога.

Здесь мне кажется притянутой за уши аргументация. Если вы так боитесь злоумышленников - криптографируйте всю файловую систему.

Journal будет частью systemd и не сможет использоваться обособленно. Все логи будут проиндексированы и хранится в специальной БД, к которой к сожалению будут неприменимы стандартные утилиты обработки текстовых файлов, такие как grep. Тем не менее, Journal не исключает параллельное использование традиционных syslog-служб, таких как rsyslog и syslog-ng.

Код: Выделить всё

bash-4.2$ ps -A | grep journal
  348 ?        00:00:00 systemd-journal
bash-4.2$ ps -A | grep log
  629 ?        00:00:00 abrt-watch-log
  647 ?        00:00:00 systemd-logind
  667 ?        00:00:00 rsyslogd
  677 ?        00:00:00 mcelog

Как я понимаю, в Fedora 17 (см. выше ... а 18 существует пока в релизе только "альфа") именно так и поступили. Пока боятся... и это хорошо .

[Olej]

Как я понимаю, в Fedora 17 (см. выше ... а 18 существует пока в релизе только "альфа") именно так и поступили. Пока боятся... и это хорошо .

Код: Выделить всё

bash-4.2$ service rsyslog status
Redirecting to /bin/systemctl status  rsyslog.service
rsyslog.service - System Logging Service
          Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled)
          Active: active (running) since Fri, 19 Oct 2012 10:06:16 +0300; 5h 37min ago
        Main PID: 667 (rsyslogd)
          CGroup: name=systemd:/system/rsyslog.service
                  └ 667 /sbin/rsyslogd -n -c 5

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

Код: Выделить всё

bash-4.2$ service systemd-logind status
Redirecting to /bin/systemctl status  systemd-logind.service
systemd-logind.service - Login Service
          Loaded: loaded (/usr/lib/systemd/system/systemd-logind.service; static)
          Active: active (running) since Fri, 19 Oct 2012 10:06:22 +0300; 5h 37min ago
            Docs: man:systemd-logind.service(7)
                  man:systemd-logind.conf(5)
                  http://www.freedesktop.org/wiki/Software/systemd/multiseat
        Main PID: 647 (systemd-logind)
          CGroup: name=systemd:/system/systemd-logind.service
                  └ 647 /usr/lib/systemd/systemd-logind

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

Код: Выделить всё

bash-4.2$ service systemd-journald status
Redirecting to /bin/systemctl status  systemd-journald.service
systemd-journald.service - Journal Service
          Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static)
          Active: active (running) since Fri, 19 Oct 2012 10:05:57 +0300; 5h 51min ago
            Docs: man:systemd-journald.service(8)
                  man:systemd-journald.conf(5)
        Main PID: 348 (systemd-journal)
          Status: "Processing requests..."
          CGroup: name=systemd:/system/systemd-journald.service
                  └ 348 /usr/lib/systemd/systemd-journald

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

[Olej]

Все логи будут проиндексированы и хранится в специальной БД, к которой к сожалению будут неприменимы стандартные утилиты обработки текстовых файлов, такие как grep.

Код: Выделить всё

bash-4.2$ tree /run/log/journal/
/run/log/journal/
`-- dec47daacc0345f98702c28782126e50
    `-- system.journal

1 directory, 1 file
bash-4.2$ ls -l /run/log/journal/dec47daacc0345f98702c28782126e50/
итого 476
-rw-r-----. 1 root adm 487424 окт.  19 16:23 system.journal

Такой лог исчезает при выключении.
Это если не существует (не создан!) каталог /var/log/journal, если он создан - лог пишется туда, и становится постоянным.
Так похоже?

[Olej]

Все логи будут проиндексированы и хранится в специальной БД, к которой к сожалению будут неприменимы стандартные утилиты обработки текстовых файлов, такие как grep. Тем не менее, Journal не исключает параллельное использование традиционных syslog-служб, таких как rsyslog и syslog-ng.

Для просмотра БД журнала (который теперь не текстовый, криптографированный и т.д.) используется утилита systemd-journalctl.
А поскольку в Fedora 17 (да и любой другой системе Linux может быть) используются две различные системы журналирования, то пишут они разные, но похожие по содержанию журналы:

- это rsyslogd в текстовый журнал /var/log/messages

Код: Выделить всё

[root@notebook log]# cat /var/log/messages | tail -n5
Oct 19 16:23:29 notebook dbus-daemon[709]: ** Message: No devices in use, exit
Oct 19 17:11:30 notebook dbus-daemon[709]: dbus[709]: [system] Activating service name='org.freedesktop.PackageKit' (using servicehelper)
Oct 19 17:11:30 notebook dbus[709]: [system] Activating service name='org.freedesktop.PackageKit' (using servicehelper)
Oct 19 17:11:30 notebook dbus-daemon[709]: dbus[709]: [system] Successfully activated service 'org.freedesktop.PackageKit'
Oct 19 17:11:30 notebook dbus[709]: [system] Successfully activated service 'org.freedesktop.PackageKit'

- это systemd-journal в журнал в БД /run/log/journal/dec47daacc0345f98702c28782126e50/system.journal

Код: Выделить всё

[root@notebook log]# systemd-journalctl | tail -n5
Oct 19 17:01:01 notebook run-parts(/etc/cron.hourly)[6386]: finished mcelog.cron
Oct 19 17:11:30 notebook dbus-daemon[709]: dbus[709]: [system] Activating se...)
Oct 19 17:11:30 notebook dbus[709]: [system] Activating service name='org.f...r)
Oct 19 17:11:30 notebook dbus-daemon[709]: dbus[709]: [system] Successfully ...'
Oct 19 17:11:30 notebook dbus[709]: [system] Successfully activated service...t'

Смысл записей в них очень похожий, но не идентичный... в /var/log/messages нет записи с меткой 17:01:01 (/etc/cron.hourly).

[Olej]

Для просмотра БД журнала (который теперь не текстовый, криптографированный и т.д.) используется утилита systemd-journalctl.
А поскольку в Fedora 17 (да и любой другой системе Linux может быть) используются две различные системы журналирования, то пишут они разные, но похожие по содержанию журналы:

Не прошло и года (или год пршёл? ) и всё опять поменялось, и всё нужно опять разгребать с начала - это вот Fedora 20:

Код: Выделить всё

bash-4.2$ service systemd-journald status
Redirecting to /bin/systemctl status  systemd-journald.service
systemd-journald.service - Journal Service
   Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static)
   Active: active (running) since Пт 2014-03-14 09:52:58 EET; 10h ago
     Docs: man:systemd-journald.service(8)
           man:journald.conf(5)
 Main PID: 266 (systemd-journal)
   Status: "Processing requests..."
   CGroup: /system.slice/systemd-journald.service
           └─266 /usr/lib/systemd/systemd-journald
bash-4.2$ systemd-journalctl
bash: systemd-journalctl: команда не найдена