Что такое local6 (и все другие локальные #) средства в системном журнале?


44

Что я понимаю

На серверах * nix мы настраиваем отправку журналов, используя facility.severity, где facilityимя (давайте назовем это) «компонента» системы, такого как ядро, аутентификация и т. Д .; и severityявляется «уровнем» каждого из журналов, зарегистрированных средством, таким как info(информационные), crit(критические) журналы.

Итак, если я хочу отправить критические журналы ядра, я буду использовать kern.crit.

Комбинация объекта и серьезности известна как приоритет, например ...

  • приоритет = kern.crit
  • средство = керн
  • серьезность = крит

Вопрос

Есть «объекты» называются local0в local7.

Что в мире эти local#объекты? Я спрашиваю конкретно о том local6, как это обычно самый распространенный, который я нахожу в поисках.

Мой вопрос на самом деле, потому что я настраиваю Snort (SourceFire Intrusion Sensor) для отправки журналов, поэтому я хотел знать, какой facilityиспользовать. Мой вопрос не является специфическим для Snort, потому что local#средства есть везде; на Cisco и IBM WebSphere Application Server, например.

Исследование

  • RFC3164, где определяется протокол системного журнала, только говорит:

    local6 - local use 6
    

    Который действительно не описывает это, в отличие от:

    auth   - security/authorization messages
    
  • В Ubuntu man syslogпоказывает:

       LOG_LOCAL0 до LOG_LOCAL7
                      зарезервировано для локального использования
    

    Кроме того, расплывчато.

Ответы:


31

Главная информация

Средства local0для local7«пользовательских» неиспользуемых средств, которые syslog предоставляет пользователю. Если разработчик создает приложение и хочет, чтобы оно регистрировалось в системном журнале, или если вы хотите перенаправить вывод чего-либо в системный журнал (например, журналы Apache), вы можете отправить его в любое из local#средств. Затем вы можете использовать /etc/syslog.conf(или /etc/rsyslog.conf) для сохранения журналов, отправляемых этому, local#в файл или для отправки на удаленный сервер.

Ответь на мой вопрос

Я задал этот вопрос, потому что я хотел отправить журналы на внешний сервер, поэтому я хотел знать, какой из них выбрать, а не «записывать журналы на local#объект». Мне пришлось вернуться к документации Snort, чтобы выяснить, что они пишут в local#учреждения.


7

Local#Средства предназначены для локального использования, и не существует какого-либо стандарта (например, RFC), какой из них используется каким приложением. Таким образом, вы можете выбрать все, что вы хотите. Конечно, некоторые приложения и их разработчики согласились использовать конкретное средство, но это не является официальным стандартом (например, sudo - LOCAL2, Snort - LOCAL5, ...).


Что вы имеете в виду "я могу выбрать все, что я хочу"? Они все одинаковые? Я не понимаю в последнюю очередь о sudo local2и snort local5; ты имеешь ввиду на одних устройствах sudoиспользую local2а на других snortесть local5?
Алаа Али

Я имею в виду, вы можете выбрать все, что вы хотите от LOCAL0 до LOCAL6. Да, в некоторых дистрибутивах я помню, что sudo по умолчанию использовал средство local2.
dsmsk80
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.