Các cơ sở local6 (và tất cả các địa phương #) khác trong syslog là gì?

44

Những gì tôi hiểu

Trên các máy chủ nix *, chúng ta cấu hình gửi bản ghi sử dụng facility.severity, nơi facilitylà tên của (chúng ta hãy gọi nó) "thành phần" của hệ thống, chẳng hạn như hạt nhân, chứng thực, và vân vân; và severitylà "cấp độ" của từng nhật ký được ghi bởi một cơ sở, chẳng hạn như nhật ký info(thông tin), crit(quan trọng).

Vì vậy, nếu tôi muốn gửi nhật ký quan trọng kernel, tôi sẽ sử dụng kern.crit.

Sự kết hợp giữa cơ sở và mức độ nghiêm trọng được gọi là ưu tiên, ví dụ ...

  • ưu tiên = kern.crit
  • cơ sở = kern
  • mức độ nghiêm trọng = crit

Câu hỏi

Có "cơ sở" được gọi local0đến local7.

Những gì trên thế giới là những local#cơ sở? Tôi đang hỏi cụ thể local6, vì nó thường là thứ phổ biến nhất tôi tìm thấy trong các tìm kiếm.

Câu hỏi của tôi thực sự là vì tôi đang cấu hình Snort (Bộ cảm biến xâm nhập SourceFire) để gửi nhật ký, vì vậy tôi muốn biết facilitynên sử dụng cái nào. Câu hỏi của tôi không phải là Snort cụ thể, bởi vì local#các cơ sở ở khắp mọi nơi; trên máy chủ ứng dụng WebSphere của Cisco và IBM chẳng hạn.

Nghiên cứu

  • RFC3164, đó là nơi giao thức syslog được xác định, chỉ nói:

    local6 - local use 6

    Mà không thực sự mô tả nó, trái ngược với:

    auth   - security/authorization messages

  • Trong Ubuntu, man sysloghiển thị:

       LOG_LOCAL0 thông qua LOG_LOCAL7
                  dành riêng cho sử dụng tại địa phương

    Ngoài ra, mơ hồ.

syslog 
Alaa Ali
nguồn

Câu trả lời:

31

Thông tin chung

Cơ sở vật chất local0để local7là "tùy chỉnh" cơ sở vật chất không sử dụng mà syslog cung cấp cho người dùng. Nếu nhà phát triển tạo một ứng dụng và muốn làm cho nó đăng nhập vào syslog hoặc nếu bạn muốn chuyển hướng đầu ra của bất kỳ thứ gì sang syslog (ví dụ: nhật ký Apache), bạn có thể chọn gửi nó tới bất kỳ local#cơ sở nào. Sau đó, bạn có thể sử dụng /etc/syslog.conf(hoặc /etc/rsyslog.conf) để lưu các bản ghi được gửi đến local#tệp đó hoặc gửi nó đến một máy chủ từ xa.

Trả lời câu hỏi của tôi

Tôi đã hỏi câu hỏi này vì tôi muốn gửi nhật ký đến một máy chủ bên ngoài, vì vậy tôi muốn biết nên chọn cái nào, không phải "ghi nhật ký cho một local#cơ sở". Tôi đã phải quay lại tài liệu Snort để tìm hiểu những gì họ đang viết cho các local#cơ sở.

Alaa Ali
nguồn
7

Local#các cơ sở được dành riêng cho sử dụng cục bộ và không có bất kỳ tiêu chuẩn nào được xác định (như RFC) mà cơ sở nào được sử dụng bởi ứng dụng nào. Vì vậy, bạn có thể chọn bất cứ điều gì bạn muốn. Tất nhiên, một số ứng dụng và nhà phát triển của họ đã đồng ý sử dụng một cơ sở cụ thể nhưng đây không phải là một tiêu chuẩn chính thức (như sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
nguồn
Ý bạn là gì "Tôi có thể chọn bất cứ thứ gì tôi muốn"? Có phải tất cả họ đều giống nhau không? Tôi không hiểu chút cuối cùng về sudo local2snort local5; bạn có nghĩa là trên một số thiết bị, sudođang sử dụng local2và trên những người khác snortlocal5?
Alaa Ali
Ý tôi là bạn có thể chọn bất cứ thứ gì bạn muốn từ LOCAL0 đến LOCAL6. Có, trên một số distro tôi nhớ rằng sudo đã sử dụng cơ sở local2 theo mặc định.
dsmsk80
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.