<div dir="ltr">Hello!<div><br></div><div>I only briefly tested this, but I believe you can use journal namespaces.</div><div>I tweaked the Service stanza in systemd-journald-audit.socket to "systemd-journald@audit.service" restarted everything and now I have audit messages separated in /var/log/journal/4339da6539564b07a62c1604525309ff.audit</div><div>And since the instance can have separate configuration file (/etc/systemd/journald@audit.conf) you could set a different retention policy there. Check the journald.conf manpage.</div><div><br></div><div>Lukas</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ne 11. 8. 2024 v 23:52 odesílatel SCOTT FIELDS <<a href="mailto:Scott.Fields@kyndryl.com">Scott.Fields@kyndryl.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-8691266963922581920">




<div dir="ltr">
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
In the syslogd configuration, you can arrange to have specific retention factors for a given class of information.</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
AKA, I can have all kernel messages go to a specific file and that file can have a retention/rotation specified by size or date</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
For example, I can ensure I have 90 days of data for 'authpriv' level syslog data, if audit requires it. And that data would ONLY include 'authpriv' level data.</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
I don't see any options in journald to limit the scope for 'system' journal data, when configured to be persistent.</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
Are there any configuration options (or options in plan for the future) that will allow me to split this level of data into different managed storage with its own retention polices, much like how syslogd currently allows?</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
The long term goal in this case is to deprecate syslogd for audit record retention (among other uses).</div>
<div style="font-family:Aptos,Aptos_EmbeddedFont,Aptos_MSFontService,Calibri,Helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)">
<br>
</div>
<div id="m_5159486646128130663Signature">
<p><span style="color:black">Scott Fields</span></p>
<p><span style="color:black">Kyndryl</span></p>
<p><span style="color:black">Senior Lead SRE – BNSF</span></p>
<p><span style="color:black">817-593-5038 (BNSF)</span></p>
<p><span style="color:black"><a href="mailto:scott.fields@kyndryl.com" style="margin-top:0px;margin-bottom:0px" target="_blank">scott.fields@kyndryl.com</a></span></p>
<p><a href="mailto:scott.fields@bnsf.com" style="margin-top:0px;margin-bottom:0px" target="_blank">scott.fields@bnsf.com</a></p>
<p> </p>
</div>
</div>

</div></blockquote></div>