Was ich verstehe
Auf * nix - Server konfigurieren zu senden wir Protokolle verwenden facility.severity
, wo facility
der Name des (nennen wir es) „Komponente“ des Systems, wie Kernel, Authentifizierung und so weiter; und severity
ist die „Ebene“ von jedem der von einer Einrichtung angemeldet Protokolle, wie zum Beispiel info
(informativ), crit
(kritische) Protokolle.
Wenn ich also wichtige Kernel-Protokolle senden möchte, verwende ich kern.crit
.
Die Kombination von Einrichtung und Schweregrad wird als Priorität bezeichnet, zum Beispiel ...
- priority = kern.crit
- Facility = Kern
- Schweregrad = krit
Frage
Es gibt „Einrichtungen“ genannt , local0
zu local7
.
Was in aller Welt sind diese local#
Einrichtungen? Ich frage speziell nach local6
, da es normalerweise das häufigste ist, das ich bei Suchen finde.
Meine Frage ist eigentlich, weil ich Snort (SourceFire Intrusion Sensor) so konfiguriere, dass Protokolle gesendet werden. Daher wollte ich wissen, welche ich facility
verwenden soll. Meine Frage ist jedoch nicht Snort-spezifisch, da local#
es überall Einrichtungen gibt. Zum Beispiel auf dem WebSphere Application Server von Cisco und IBM.
Forschung
RFC3164
, in dem das Syslog-Protokoll definiert ist, sagt nur:local6 - local use 6
Was es nicht wirklich beschreibt, im Gegensatz zu:
auth - security/authorization messages
In Ubuntu
man syslog
zeigt:LOG_LOCAL0 bis LOG_LOCAL7 reserviert für den lokalen Gebrauch
Auch vage.
sudo local2
undsnort local5
; du meinst auf einigen geräten,sudo
benutztlocal2
und auf anderensnort
istlocal5
?