Що я розумію
На серверах * nix ми налаштовуємо надсилання журналів, використовуючи facility.severity
, де facility
назва (компонент) системи (наприклад, ядро, автентифікація тощо); і severity
є "рівнем" кожного з журналів, які реєструються об'єктом, таких як info
(інформаційні), crit
(критичні) журнали.
Отже, якщо я хочу надіслати критичні журнали ядра, я буду використовувати kern.crit
.
Поєднання сприятливості та суворості відоме як пріоритет, наприклад ...
- пріоритет = kern.crit
- споруда = керн
- тяжкість = критерій
Питання
Є "споруди", local0
до яких звертаються local7
.
Що у світі ці local#
споруди? Я питаю конкретно про те local6
, оскільки це, як правило, найпоширеніший, який я зустрічаю в пошуках.
Моє запитання насправді тому, що я налаштовую Snort (SourceFire датчик проникнення) для надсилання журналів, тому я хотів знати, що facility
використовувати. Моє запитання не є специфічним для Snort, тому що local#
заклади є скрізь; наприклад, на сервері прикладних програм Cisco та IBM WebSphere.
Дослідження
RFC3164
, де визначено протокол syslog, говорить лише:local6 - local use 6
Що насправді не описує це, на відміну від:
auth - security/authorization messages
В Ubuntu
man syslog
показує:LOG_LOCAL0 - LOG_LOCAL7 зарезервовано для місцевого використання
Також розпливчасті.
sudo local2
іsnort local5
; ви маєте на увазі, що на деяких пристрояхsudo
використовується,local2
а на іншихsnort
єlocal5
?