Qual é o local6 (e todos os outros locais #) no syslog?

37

O que eu entendo

Em servidores * nix, configuramos o envio de logs usando facility.severity , onde facility é o nome do (vamos chamá-lo) "componente" do sistema, como kernel, autenticação e assim por diante; e severity é o "nível" de cada um dos logs registrados por um recurso, como info (informativo), crit (crítico) logs.

Então, se eu quiser enviar logs críticos do kernel, usarei kern.crit .

A combinação de facilidade e gravidade é conhecida como a prioridade, por exemplo ...

  • priority = kern.crit
  • facility = kern
  • severity = crit

Pergunta

Existem "facilidades" chamadas local0 a local7 .

O que no mundo são essas instalações de local# ? Estou perguntando especificamente sobre local6 , já que geralmente é o mais comum que encontro nas pesquisas.

A minha pergunta é, na verdade, porque estou configurando o Snort (SourceFire Intrusion Sensor) para enviar logs, então eu queria saber qual facility usar. Minha pergunta não é específica do Snort, porque local# das instalações estão em todo lugar; na Cisco e no WebSphere Application Server da IBM, por exemplo.

Pesquisa

  • RFC3164 , que é onde o protocolo syslog é definido, apenas diz:

    local6 - local use 6
    

    O que não descreve realmente, em oposição a:

    auth   - security/authorization messages
    
  • No Ubuntu, man syslog mostra:

       LOG_LOCAL0 through LOG_LOCAL7
                      reserved for local use
    

    Além disso, vago.

por Alaa Ali 16.09.2013 / 09:46

2 respostas

25

Informações gerais

Os recursos local0 a local7 são instalações não "personalizadas" que o syslog fornece ao usuário. Se um desenvolvedor criar um aplicativo e quiser fazê-lo logar ao syslog, ou se você quiser redirecionar a saída de qualquer coisa para o syslog (por exemplo, logs do Apache), você pode optar por enviá-lo para qualquer uma das facilidades local# . Em seguida, você pode usar /etc/syslog.conf (ou /etc/rsyslog.conf ) para salvar os logs enviados para esse local# em um arquivo ou enviá-los para um servidor remoto.

Responda à minha pergunta

Eu fiz esta pergunta porque queria enviar logs para um servidor externo, então eu queria saber qual escolher, e não "gravar os logs em um local# facility". Eu tive que voltar para a documentação do Snort para descobrir o que eles estão escrevendo para as facilidades local# .

    
por 28.07.2014 / 15:41
7
As facilidades

Local# são dedicadas para uso local e não há nenhum padrão definido (como RFC) que seja usado por qual aplicativo. Então você pode escolher o que quiser. É claro, alguns aplicativos e seus desenvolvedores concordaram em usar um recurso específico, mas este não é um padrão oficial (como o sudo - LOCAL2, Snort - LOCAL5, ...).

    
por 16.09.2013 / 10:19

Tags