Що таке локальне (та всі інші місцеві #) об’єкти в syslog?


44

Що я розумію

На серверах * nix ми налаштовуємо надсилання журналів, використовуючи facility.severity, де facilityназва (компонент) системи (наприклад, ядро, автентифікація тощо); і severityє "рівнем" кожного з журналів, які реєструються об'єктом, таких як info(інформаційні), crit(критичні) журнали.

Отже, якщо я хочу надіслати критичні журнали ядра, я буду використовувати kern.crit.

Поєднання сприятливості та суворості відоме як пріоритет, наприклад ...

  • пріоритет = kern.crit
  • споруда = керн
  • тяжкість = критерій

Питання

Є "споруди", local0до яких звертаються local7.

Що у світі ці local#споруди? Я питаю конкретно про те local6, оскільки це, як правило, найпоширеніший, який я зустрічаю в пошуках.

Моє запитання насправді тому, що я налаштовую Snort (SourceFire датчик проникнення) для надсилання журналів, тому я хотів знати, що facilityвикористовувати. Моє запитання не є специфічним для Snort, тому що local#заклади є скрізь; наприклад, на сервері прикладних програм Cisco та IBM WebSphere.

Дослідження

  • RFC3164, де визначено протокол syslog, говорить лише:

    local6 - local use 6
    

    Що насправді не описує це, на відміну від:

    auth   - security/authorization messages
    
  • В Ubuntu man syslogпоказує:

       LOG_LOCAL0 - LOG_LOCAL7
                      зарезервовано для місцевого використання
    

    Також розпливчасті.

Відповіді:


31

Загальна інформація

Засоби, local0що local7є "нестандартними" невикористаними засобами, які забезпечує syslog для користувача. Якщо розробник створює додаток і хоче внести його до журналу syslog, або якщо ви хочете перенаправити вихід із чого-небудь в syslog (наприклад, журнали Apache), ви можете надіслати його до будь-якого з local#об'єктів. Потім ви можете використовувати /etc/syslog.conf(або /etc/rsyslog.conf) для збереження журналів, що надсилаються до цього local#файлу, або для відправлення на віддалений сервер.

Відповідь на моє запитання

Я задав це запитання, тому що хотів відправити журнали на зовнішній сервер, тому хотів знати, який саме вибрати, а не "писати журнали на local#об'єкт". Мені довелося повернутися до документації Snort, щоб дізнатись, що вони пишуть до local#закладів.


7

Local#засоби призначені для місцевого використання, і не існує жодного визначеного стандарту (наприклад, RFC), який із них використовується. Таким чином, ви можете вибрати все, що завгодно. Звичайно, деякі програми та їх розробники домовилися про використання конкретного засобу, але це не офіційний стандарт (наприклад, sudo - LOCAL2, Snort - LOCAL5, ...).


Що ви маєте на увазі "я можу вибрати все, що хочу"? Чи всі вони однакові? Я не розумію останнього шматочка про sudo local2і snort local5; ви маєте на увазі, що на деяких пристроях sudoвикористовується, local2а на інших snortє local5?
Алаа Алі

Я маю на увазі, що ви можете вибрати все, що завгодно, від LOCAL0 до LOCAL6. Так, у деяких дистрибутивах я пам'ятаю, що sudo використовував local2 об'єкт за замовчуванням.
dsmsk80
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.