Странный выхлоп при консольном логине

кириллицы в терминале не было

~/workspace/AndroidStudioProjects/HHResumeAutomate/app/src
❯ cat /etc/locale.conf 
LANG=en_US.UTF-8

~/workspace/AndroidStudioProjects/HHResumeAutomate/app/src
❯ cat /etc/locale.gen 
en_US.UTF-8 UTF-8
ru_RU.UTF-8 UTF-8

~/workspace/AndroidStudioProjects/HHResumeAutomate/app/src
❯ cat /etc/vconsole.conf 
# Written by systemd-localed(8) or systemd-firstboot(1), read by systemd-localed
# and systemd-vconsole-setup(8). Use localectl(1) to update this file.
KEYMAP=ru
KEYMAP_TOGGLE=ruwin_ct_sh-UTF-8
LOCALE=en_US.UTF-8
FONT=ter-v32b
USECOLOR=yes
XKBLAYOUT=us,ru
XKBMODEL=pc105
XKBOPTIONS=grp:win_space_toggle

Да тебе этот аудит не нужен.

[ 1119.660208] audit: type=1100 audit(1741168367.007:145): pid=19297 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=pam_shells,pam_faillock,pam_permit,pam_faillock acct="piyavking" exe="/usr/bin/login" hostname=archlinux addr=? terminal=/dev/tty2 res=success'

Это сообщение о том, что ты удачно залогинился

[ 1119.675929] audit: type=1300 audit(1741168367.023:148): arch=c00000b7 syscall=64 success=yes exit=4 a0=5 a1=ffffd277b540 a2=4 a3=0 items=0 ppid=1 pid=19297 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=1000 fsgid=0 tty=tty2 ses=4 comm="login" exe="/usr/bin/login" key=(null)

uid=0 - это рут. наверное, что-то через sudo запустил

Да с этой стороны всё сейчас пучком, все файлы с нуля пересоздал в диалоговом режиме тщмт.

но почему это стало в явной форме сыпаться мне в стдоут?

но почему это стало в явной форме сыпаться мне в стдоут?

Не тебе, а на консоль. Мейнтейнеры так нарукожопили

auditd может писать и собственный лог (в своем формате) и в syslog

скорее всего на консоль сыпется из syslog. Посмотри настройки rsyslog и переведи их в отдельный файл

например,

# fuck this spam
# auditd already log it to /var/log/audit/
# well, ok, let's save it to /var/log/audit.log
:syslogtag, startswith, "audit" /var/log/audit.log
# but then fuck off
:syslogtag, startswith, "audit" stop

Собственно, откуда это течет:

сейчас контейнеры все популярнее. и в контейнерах best practice - логи сыпать в stdout. и для контейнеров это нормально - дальше эти логи из stdout забирает либо runtime, либо sidecar, и шлет туда, куда сказано (обычно в эластик или локи)

понятно, что для дистрибутивов это совсем не best practice, т.к. они работают не в контейнере, а на голом железе

но либо мейнейнеры дистрибутивов в последних версиях затачивают все дистрибутивы под контейнеры, либо они просто новички и не очень понимают, что и зачем они делают, но слышали, сейчас модно в stdout

Мейнтейнеры так нарукожопили

Так а что ж они только после моего systemd-firstboot стали рукожопить? Я арчик достаточно давно грызу - первый раз такое вижу. /var/log/audit.log'а у меня нету, в /var/log/audit пусто...

важные сообщения из сислога отправляются на рабочую консоль пользователя. хз по каким параметрам определяется важность, но сыпет не весь сислог. по идее в граф.консоль оно тож должно скидываться.
к примеру, когда у меня начинает дурить усб драйвер. я перехожу в текстовую консоль, любую, по ctrl-alt-f*, мне начинает сыпать ошибками драйвера даже без всяких логинов.

когда у меня начинает дурить усб драйвер

Абсолютно жизненно, такая ж петрушка.

Но их же не было, этих сообщений об аудите. И вот возникли.

Странный выхлоп при консольном логине (комментарий)

Уфф.

Когда я глючный юсб-переходник втыкаю, то в консоли бело-розовый шум поднимается. это возникало.

Но аудитлогов не было, вот я о чём.

Так-то пофиигу уже, в принчипе. Перенаправлю, да. Или забью)

логи в стдоут много кидает :) это удобно. а уж стдоут демона направить куда нужно это не проблема.

да это-то понятно. интересно было, что это оно разбухтелось, ведь молчало сколько времени. возможно, это из-за того, что я firstboot «не полностью» отыграл. в любом случае хрен с ним, до выяснения или до следующего перенаката)

Но аудитлогов не было, вот я о чём.

Видите ли, сэр, обновления. Они существуют. И некоторые - внезапно - что-то меняют

логи в стдоут много кидает :) это удобно. а уж стдоут демона направить куда нужно это не проблема.

Разумеется. Я про то, что сущестувенно изменилось дефолтное поведение. Раньше в syslog/messages попадало только важное. Потом туда начал гадить спамом systemd. А потом и все подряд

а у меня, оказывается, тупо audit=0 в параметрах ядра и соответственно

[    0.059438] audit: disabled (until reboot)
[    6.915528] systemd-journald[418]: Collecting audit messages is disabled.

Но я не обновлялся, сэр. Это ж арч. Ему пока «yay -Syyu» не скажешь - он и не дёргается, насколько я понимаю.

Ему пока «yay -Syyu» не скажешь

Тюююю... Так это какой-то неправильный «арч», месье...

В неправильном арче всё может быть неправильно.

правильный арч обновляется сам? оки, не возражаю.

Кажется такое происходит, когда auditd не запущен. Аудит рекорды из ядра некому принять, и ядро высыпает их на системную консоль.

Да, это оно. Спасибо!

Есть и радикальный метод – отключить генерацию аудит рекордов в ядре. Параметр ядра audit=0.

до компиляния ядер я ещё не докатился)))

но спасибо)

Это не параметр сборки ядра. Это параметр запуска ядра. Ничего пересобирать не надо. Просто добавить параметр запуска ядра в бутэнтри груба, systemd-boot, и т.п.

аааа. понял, спасибо!