Apa fasilitas local6 (dan semua # lokal lainnya) di syslog?

44

Apa yang aku mengerti

Pada server * nix, kami mengonfigurasi pengiriman log menggunakan facility.severity, di mana facilitynama "komponen" sistem (seperti sebut saja), seperti kernel, otentikasi, dan sebagainya; dan severitymerupakan "level" dari masing-masing log yang dicatat oleh suatu fasilitas, seperti log info(informasi), crit(kritis).

Jadi, jika saya ingin mengirim log kernel kritis, saya akan menggunakan kern.crit.

Kombinasi fasilitas dan tingkat keparahannya dikenal sebagai prioritas, misalnya ...

  • priority = kern.crit
  • fasilitas = kern
  • keparahan = crit

Pertanyaan

Ada "fasilitas" yang dipanggil local0untuk local7.

Apa saja local#fasilitas ini ? Saya bertanya secara khusus tentang local6, karena biasanya yang paling umum saya temukan dalam pencarian.

Pertanyaan saya sebenarnya karena saya mengkonfigurasi Snort (SourceFire Intrusion Sensor) untuk mengirim log, jadi saya ingin tahu mana yang facilityharus digunakan. Pertanyaan saya bukanlah Snort spesifik, karena local#fasilitas ada di mana-mana; pada Cisco dan Server Aplikasi WebSphere IBM misalnya.

Penelitian

  • RFC3164, yang merupakan tempat protokol syslog didefinisikan, hanya mengatakan:

    local6 - local use 6
    

    Yang tidak benar-benar menggambarkannya, sebagai lawan dari:

    auth   - security/authorization messages
    
  • Di Ubuntu, man syslogmenunjukkan:

       LOG_LOCAL0 hingga LOG_LOCAL7
                      dicadangkan untuk penggunaan lokal
    

    Juga tidak jelas.

Alaa Ali
sumber

Jawaban:

31

Informasi Umum

Fasilitas local0untuk local7adalah "custom" fasilitas yang tidak digunakan yang disediakan syslog untuk pengguna. Jika pengembang membuat aplikasi dan ingin membuatnya masuk ke syslog, atau jika Anda ingin mengalihkan output apa pun ke syslog (misalnya, log Apache), Anda dapat memilih untuk mengirimkannya ke salah satu local#fasilitas. Kemudian, Anda dapat menggunakan /etc/syslog.conf(atau /etc/rsyslog.conf) untuk menyimpan log yang dikirim ke local#file, atau mengirimnya ke server jauh.

Jawab pertanyaan saya

Saya mengajukan pertanyaan ini karena saya ingin mengirim log ke server eksternal, jadi saya ingin tahu yang mana yang harus dipilih, bukan "menulis log ke local#fasilitas". Saya harus kembali ke dokumentasi Snort untuk mencari tahu apa yang mereka tulis ke local#fasilitas.

Alaa Ali
sumber
7

Local#fasilitas didedikasikan untuk penggunaan lokal dan tidak ada standar yang ditentukan (seperti RFC) yang digunakan oleh aplikasi mana. Jadi, Anda dapat memilih apa pun yang Anda inginkan. Tentu saja, beberapa aplikasi dan pengembangnya menyetujui fasilitas tertentu untuk digunakan tetapi ini bukan standar resmi (seperti sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
sumber
Apa maksudmu "Aku bisa memilih apa pun yang aku mau"? Apakah mereka semua sama? Saya tidak mengerti sedikit tentang sudo local2dan snort local5; Anda berarti pada beberapa perangkat, sudomenggunakan local2dan pada orang lain snortadalah local5?
Alaa Ali
Maksud saya, Anda dapat memilih apa pun yang Anda inginkan dari LOCAL0 hingga LOCAL6. Ya, pada beberapa distro saya ingat bahwa sudo menggunakan fasilitas local2 secara default.
dsmsk80