Что такое local6 (и все остальные локальные #) в syslog?

Что я понимаю

На серверах * nix мы настраиваем отправку журналов с помощью facility.severity, где facility - это имя (назовем его) «компонентом» системы, например, ядром, аутентификацией и т. д .; и severity - это «уровень» каждого из журналов, регистрируемых средством, например info (информационный), crit (критические) журналы.

Итак, если я хочу отправить критические журналы ядра, я буду использовать kern.crit.

Комбинация объекта и степени серьезности известна как приоритет, например ...

  • priority = kern.crit
  • объект = kern
  • severity = crit

Вопрос

Есть «объекты», называемые local0 до local7.

Что в мире есть эти объекты local#? Я спрашиваю конкретно о local6, так как это обычно самый распространенный, который я нахожу в поиске.

Мой вопрос на самом деле состоит в том, что я настраиваю Snort (SourceFire Intrusion Sensor) для отправки журналов, поэтому я хотел знать, какой facility использовать. Мой вопрос не является специфичным для Snort, потому что объекты local# повсюду; например, для Cisco и IBM WebSphere Application Server.

Исследование

  • RFC3164 , в котором определяется протокол syslog, только говорит:

    local6 - local use 6
    

    Который на самом деле не описывает это, в отличие от:

    auth   - security/authorization messages
    
  • В Ubuntu, man syslog показывает:

       LOG_LOCAL0 через LOG_LOCAL7
                      зарезервировано для местного использования
    

    Кроме того, неопределенный.

34 голоса | спросил Alaa Ali 16 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 16 Sep 2013 11:46:58 +0400 2013, 11:46:58

2 ответа


23

Общая информация

Объекты local0 до local7 являются «обычными» неиспользуемыми средствами, которые syslog предоставляет для пользователя. Если разработчик создает приложение и хочет сделать его журналом в syslog или если вы хотите перенаправить вывод чего-либо в syslog (например, журналы Apache), вы можете отправить его в любой из local#. Затем вы можете использовать /etc/syslog.conf (или /etc/rsyslog.conf), чтобы сохранить журналы, отправленные на этот local# в файл, или отправить его на удаленный сервер.

Отвечайте на мой вопрос

Я задал этот вопрос, потому что я хотел отправить журналы на внешний сервер, поэтому я хотел знать, какой из них выбрать, а не «записывать журналы в local#. Мне пришлось вернуться к документации Snort, чтобы узнать, что они пишут в средствах local#.

ответил Alaa Ali 28 J000000Monday14 2014, 17:41:29
4

Local# средства выделены для локального использования, и не существует какого-либо стандартного (например, RFC), который используется каким-либо приложением. Таким образом, вы можете выбрать все, что захотите. Конечно, некоторые приложения и их разработчики согласились на конкретный объект для использования, но это не официальный стандарт (например, sudo - LOCAL2, Snort - LOCAL5, ...).

ответил dsmsk80 16 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 16 Sep 2013 12:19:05 +0400 2013, 12:19:05

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132