syslog中的local6（以及所有其他local＃）功能是什么？

我的理解

在* nix服务器上，我们使用来配置发送日志facility.severity，其中facility是系统（称为内核）“组件”的名称，例如内核，身份验证等。并且severity是设施记录的每个日志的“级别”，例如info（信息性），crit（关键性）日志。

因此，如果要发送内核关键日志，请使用kern.crit。

设施和严重性的组合被称为优先级，例如...

• 优先级= kern.crit
• 设施=核心
• 严重程度=暴击

题

还有所谓的“设施” local0来local7。

这些local#设施到底是什么？我要特别询问local6，因为它通常是我在搜索中最常见的一种。

我的问题实际上是因为我正在配置Snort（SourceFire入侵传感器）来发送日志，所以我想知道该facility使用哪个。我的问题不是Snort特有的，因为local#设施无处不在。例如在Cisco和IBM的WebSphere Application Server上。

研究

• RFC3164，它是定义syslog协议的地方，仅表示：

  local6 - local use 6
  

  相对于：

  auth   - security/authorization messages
  

• 在Ubuntu中，man syslog显示：

     LOG_LOCAL0至LOG_LOCAL7
                    保留供本地使用
  

  还有，含糊。

基本信息

这些设施local0要local7在“自定义”未使用的设施，系统日志提供给用户。如果开发人员创建了一个应用程序并希望将其记录到syslog，或者要将任何输出重定向到syslog（例如Apache日志），则可以选择将其发送到任何local#设施。然后，您可以使用/etc/syslog.conf（或/etc/rsyslog.conf）将要发送到的日志保存local#到文件中，或将其发送到远程服务器。

回答我的问题

我问这个问题是因为我想将日志发送到外部服务器，所以我想知道选择哪一个，而不是“将日志写到local#设备”。我不得不返回Snort文档，以了解它们在local#写些什么。

Local#这些工具专用于本地使用，没有定义任何应用程序使用哪个标准（例如RFC）。因此，您可以选择任何您想要的。当然，某些应用程序及其开发人员在使用的特定工具上达成了一致，但这不是官方标准（例如sudo-LOCAL2，Snort-LOCAL5等）。