syslog中的local6(以及所有其他local#)功能是什么?


44

我的理解

在* nix服务器上,我们使用来配置发送日志facility.severity,其中facility是系统(称为内核)“组件”的名称,例如内核,身份验证等。并且severity是设施记录的每个日志的“级别”,例如info(信息性),crit(关键性)日志。

因此,如果要发送内核关键日志,请使用kern.crit

设施和严重性的组合被称为优先级,例如...

  • 优先级= kern.crit
  • 设施=核心
  • 严重程度=暴击

还有所谓的“设施” local0local7

这些local#设施到底是什么?我要特别询问local6,因为它通常是我在搜索中最常见的一种。

我的问题实际上是因为我正在配置Snort(SourceFire入侵传感器)来发送日志,所以我想知道该facility使用哪个。我的问题不是Snort特有的,因为local#设施无处不在。例如在Cisco和IBM的WebSphere Application Server上。

研究

  • RFC3164,它是定义syslog协议的地方,仅表示:

    local6 - local use 6
    

    相对于:

    auth   - security/authorization messages
    
  • 在Ubuntu中,man syslog显示:

       LOG_LOCAL0至LOG_LOCAL7
                      保留供本地使用
    

    还有,含糊。

Answers:


31

基本信息

这些设施local0local7在“自定义”未使用的设施,系统日志提供给用户。如果开发人员创建了一个应用程序并希望将其记录到syslog,或者要将任何输出重定向到syslog(例如Apache日志),则可以选择将其发送到任何local#设施。然后,您可以使用/etc/syslog.conf(或/etc/rsyslog.conf)将要发送到的日志保存local#到文件中,或将其发送到远程服务器。

回答我的问题

我问这个问题是因为我想将日志发送到外部服务器,所以我想知道选择哪一个,而不是“将日志写到local#设备”。我不得不返回Snort文档,以了解它们在local#写些什么。


7

Local#这些工具专用于本地使用,没有定义任何应用程序使用哪个标准(例如RFC)。因此,您可以选择任何您想要的。当然,某些应用程序及其开发人员在使用的特定工具上达成了一致,但这不是官方标准(例如sudo-LOCAL2,Snort-LOCAL5等)。


您是什么意思“我可以选择我想要的任何东西”?他们都一样吗?我不了解有关sudo local2and 的最后一点snort local5;您是说在某些设备上sudo正在使用,local2而在其他设备上则snortlocal5
Alaa Ali 2013年

我的意思是,您可以选择从LOCAL0到LOCAL6的任何内容。是的,在某些发行版中,我记得sudo默认使用local2工具。
dsmsk80 2013年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.