Apa fasilitas local6 (dan semua # lokal lainnya) di syslog?

Apa yang aku mengerti

Pada server * nix, kami mengonfigurasi pengiriman log menggunakan facility.severity, di mana facilitynama "komponen" sistem (seperti sebut saja), seperti kernel, otentikasi, dan sebagainya; dan severitymerupakan "level" dari masing-masing log yang dicatat oleh suatu fasilitas, seperti log info(informasi), crit(kritis).

Jadi, jika saya ingin mengirim log kernel kritis, saya akan menggunakan kern.crit.

Kombinasi fasilitas dan tingkat keparahannya dikenal sebagai prioritas, misalnya ...

• priority = kern.crit
• fasilitas = kern
• keparahan = crit

Pertanyaan

Ada "fasilitas" yang dipanggil local0untuk local7.

Apa saja local#fasilitas ini ? Saya bertanya secara khusus tentang local6, karena biasanya yang paling umum saya temukan dalam pencarian.

Pertanyaan saya sebenarnya karena saya mengkonfigurasi Snort (SourceFire Intrusion Sensor) untuk mengirim log, jadi saya ingin tahu mana yang facilityharus digunakan. Pertanyaan saya bukanlah Snort spesifik, karena local#fasilitas ada di mana-mana; pada Cisco dan Server Aplikasi WebSphere IBM misalnya.

Penelitian

• RFC3164, yang merupakan tempat protokol syslog didefinisikan, hanya mengatakan:

  local6 - local use 6
  

  Yang tidak benar-benar menggambarkannya, sebagai lawan dari:

  auth   - security/authorization messages
  

• Di Ubuntu, man syslogmenunjukkan:

     LOG_LOCAL0 hingga LOG_LOCAL7
                    dicadangkan untuk penggunaan lokal
  

  Juga tidak jelas.

Informasi Umum

Fasilitas local0untuk local7adalah "custom" fasilitas yang tidak digunakan yang disediakan syslog untuk pengguna. Jika pengembang membuat aplikasi dan ingin membuatnya masuk ke syslog, atau jika Anda ingin mengalihkan output apa pun ke syslog (misalnya, log Apache), Anda dapat memilih untuk mengirimkannya ke salah satu local#fasilitas. Kemudian, Anda dapat menggunakan /etc/syslog.conf(atau /etc/rsyslog.conf) untuk menyimpan log yang dikirim ke local#file, atau mengirimnya ke server jauh.

Jawab pertanyaan saya

Saya mengajukan pertanyaan ini karena saya ingin mengirim log ke server eksternal, jadi saya ingin tahu yang mana yang harus dipilih, bukan "menulis log ke local#fasilitas". Saya harus kembali ke dokumentasi Snort untuk mencari tahu apa yang mereka tulis ke local#fasilitas.

Local#fasilitas didedikasikan untuk penggunaan lokal dan tidak ada standar yang ditentukan (seperti RFC) yang digunakan oleh aplikasi mana. Jadi, Anda dapat memilih apa pun yang Anda inginkan. Tentu saja, beberapa aplikasi dan pengembangnya menyetujui fasilitas tertentu untuk digunakan tetapi ini bukan standar resmi (seperti sudo - LOCAL2, Snort - LOCAL5, ...).