Was ist die local6 (und alle anderen lokalen #) Einrichtungen in Syslog?

44

Was ich verstehe

Auf * nix - Server konfigurieren zu senden wir Protokolle verwenden facility.severity, wo facilityder Name des (nennen wir es) „Komponente“ des Systems, wie Kernel, Authentifizierung und so weiter; und severityist die „Ebene“ von jedem der von einer Einrichtung angemeldet Protokolle, wie zum Beispiel info(informativ), crit(kritische) Protokolle.

Wenn ich also wichtige Kernel-Protokolle senden möchte, verwende ich kern.crit.

Die Kombination von Einrichtung und Schweregrad wird als Priorität bezeichnet, zum Beispiel ...

  • priority = kern.crit
  • Facility = Kern
  • Schweregrad = krit

Frage

Es gibt „Einrichtungen“ genannt , local0zu local7.

Was in aller Welt sind diese local#Einrichtungen? Ich frage speziell nach local6, da es normalerweise das häufigste ist, das ich bei Suchen finde.

Meine Frage ist eigentlich, weil ich Snort (SourceFire Intrusion Sensor) so konfiguriere, dass Protokolle gesendet werden. Daher wollte ich wissen, welche ich facilityverwenden soll. Meine Frage ist jedoch nicht Snort-spezifisch, da local#es überall Einrichtungen gibt. Zum Beispiel auf dem WebSphere Application Server von Cisco und IBM.

Forschung

  • RFC3164, in dem das Syslog-Protokoll definiert ist, sagt nur:

    local6 - local use 6
    

    Was es nicht wirklich beschreibt, im Gegensatz zu:

    auth   - security/authorization messages
    
  • In Ubuntu man syslogzeigt:

       LOG_LOCAL0 bis LOG_LOCAL7
                      reserviert für den lokalen Gebrauch
    

    Auch vage.

Alaa Ali
quelle

Antworten:

31

Allgemeine Information

Die Einrichtungen local0zu local7sind „custom“ ungenutzte Anlagen , dass syslog für den Benutzer bereitstellt. Wenn ein Entwickler eine Anwendung erstellt und sie in Syslog protokollieren möchte oder wenn Sie die Ausgabe von Elementen in Syslog umleiten möchten (z. B. Apache-Protokolle), können Sie sie an eine beliebige local#Einrichtung senden . Anschließend können Sie /etc/syslog.conf(oder /etc/rsyslog.conf) verwenden, um die dazu gesendeten Protokolle local#in einer Datei zu speichern oder an einen Remoteserver zu senden.

Antwort auf meine Frage

Ich habe diese Frage gestellt, weil ich Protokolle an einen externen Server senden wollte, also wollte ich wissen, welchen ich wählen soll, und nicht "Protokolle in eine local#Einrichtung schreiben ". Ich musste zur Snort-Dokumentation zurückkehren, um herauszufinden, was sie an die local#Einrichtungen schreiben .

Alaa Ali
quelle
7

Local#Die Einrichtungen sind für den lokalen Gebrauch vorgesehen, und es gibt keinen definierten Standard (wie RFC), der von welcher Anwendung verwendet wird. So können Sie wählen, was Sie wollen. Natürlich haben sich einige Anwendungen und ihre Entwickler auf die Verwendung einer bestimmten Einrichtung geeinigt, aber dies ist kein offizieller Standard (wie sudo-LOCAL2, Snort-LOCAL5, ...).

dsmsk80
quelle
Was meinst du mit "Ich kann wählen, was ich will"? Sind sie alle gleich? Ich verstehe das letzte bisschen nicht über sudo local2und snort local5; du meinst auf einigen geräten, sudobenutzt local2und auf anderen snortist local5?
Alaa Ali
Ich meine, Sie können wählen, was Sie von LOCAL0 bis LOCAL6 wollen. Ja, in einigen Distributionen erinnere ich mich, dass sudo standardmäßig local2 verwendet hat.
dsmsk80