Для базового мониторинга и анализа в системах RHEL/Rocky в Graylog следует собирать следующие журналы:
1. Журнал системных событий (Syslog): `/var/log/messages`
2. Журнал аутентификации (Auth): `/var/log/auth.log`
3. Журнал ядра (Kernel): `/var/log/kern.log`
4. Журнал демонов (Daemon): `/var/log/daemon.log`
5. Журнал установки пакетов (Yum): `/var/log/yum.log`
Дополнительно к базовым системным логам, для анализа в Graylog также стоит собирать следующие журналы на RHEL 8 и 9:
1. Журнал SELinux: `/var/log/audit/audit.log`
2. Журнал Firewalld: `/var/log/firewalld`
3. Журнал файловых систем (FS): `/var/log/fsverity`
4. Журнал контейнеров OCI (Open Container Initiative): `/var/log/containers`
Эти журналы содержат дополнительную информацию, которая может быть полезна при анализе безопасности, производительности и работы системы в целом.