Những gì tôi hiểu
Trên các máy chủ nix *, chúng ta cấu hình gửi bản ghi sử dụng facility.severity
, nơi facility
là tên của (chúng ta hãy gọi nó) "thành phần" của hệ thống, chẳng hạn như hạt nhân, chứng thực, và vân vân; và severity
là "cấp độ" của từng nhật ký được ghi bởi một cơ sở, chẳng hạn như nhật ký info
(thông tin), crit
(quan trọng).
Vì vậy, nếu tôi muốn gửi nhật ký quan trọng kernel, tôi sẽ sử dụng kern.crit
.
Sự kết hợp giữa cơ sở và mức độ nghiêm trọng được gọi là ưu tiên, ví dụ ...
- ưu tiên = kern.crit
- cơ sở = kern
- mức độ nghiêm trọng = crit
Câu hỏi
Có "cơ sở" được gọi local0
đến local7
.
Những gì trên thế giới là những local#
cơ sở? Tôi đang hỏi cụ thể local6
, vì nó thường là thứ phổ biến nhất tôi tìm thấy trong các tìm kiếm.
Câu hỏi của tôi thực sự là vì tôi đang cấu hình Snort (Bộ cảm biến xâm nhập SourceFire) để gửi nhật ký, vì vậy tôi muốn biết facility
nên sử dụng cái nào. Câu hỏi của tôi không phải là Snort cụ thể, bởi vì local#
các cơ sở ở khắp mọi nơi; trên máy chủ ứng dụng WebSphere của Cisco và IBM chẳng hạn.
Nghiên cứu
RFC3164
, đó là nơi giao thức syslog được xác định, chỉ nói:local6 - local use 6
Mà không thực sự mô tả nó, trái ngược với:
auth - security/authorization messages
Trong Ubuntu,
man syslog
hiển thị:LOG_LOCAL0 thông qua LOG_LOCAL7 dành riêng cho sử dụng tại địa phương
Ngoài ra, mơ hồ.
sudo local2
vàsnort local5
; bạn có nghĩa là trên một số thiết bị,sudo
đang sử dụnglocal2
và trên những người khácsnort
làlocal5
?