Quelles sont les installations de local6 (et de tous les autres # locaux) dans syslog?

44

Ce que je comprends

Sur les serveurs * nix, nous configurons l'envoi des journaux à l'aide de facility.severity, où facilityest le nom du "composant" (appelons-le) du système, tel que le noyau, l'authentification, etc. et severityest le "niveau" de chacun des journaux consignés par une installation, tels que les journaux info(informatifs), crit(critiques).

Donc, si je veux envoyer des journaux critiques du noyau, je les utiliserai kern.crit.

La combinaison de facilité et de gravité est appelée priorité, par exemple ...

  • priorité = kern.crit
  • installation = kern
  • gravité = critique

Question

Il existe des "installations" appelées local0à local7.

Que sont ces local#installations dans le monde ? Je demande spécifiquement à propos de local6, car il est généralement le plus commun que je trouve dans les recherches.

Ma question est en fait parce que je configure Snort (SourceFire Intrusion Sensor) pour envoyer des journaux, donc je voulais savoir lequel facilityutiliser. Ma question n'est cependant pas spécifique à Snort, car les local#installations sont partout; sur Cisco et WebSphere Application Server d'IBM par exemple.

Recherche

  • RFC3164, qui définit le protocole syslog, indique seulement:

    local6 - local use 6
    

    Ce qui ne le décrit pas vraiment, par opposition à:

    auth   - security/authorization messages
    
  • Dans Ubuntu, man syslogmontre:

       LOG_LOCAL0 à LOG_LOCAL7
                      réservé à l'usage local
    

    Aussi, vague.

Alaa Ali
la source

Réponses:

31

Informations générales

Les installations local0à local7utiliser sont des installations inutilisées "personnalisées" que syslog fournit à l'utilisateur. Si un développeur crée une application et veut le consigner dans syslog, ou si vous souhaitez rediriger la sortie de tout élément vers syslog (par exemple, les journaux Apache), vous pouvez choisir de l'envoyer à l'une des local#installations. Ensuite, vous pouvez utiliser /etc/syslog.conf(ou /etc/rsyslog.conf) pour enregistrer les journaux qui y sont envoyés local#dans un fichier ou pour l’envoyer sur un serveur distant.

Répondre à ma question

J'ai posé cette question parce que je voulais envoyer les journaux à un serveur externe. Je voulais donc savoir lequel choisir, et non "écrire les journaux dans un local#établissement". J'ai dû revenir à la documentation de Snort pour savoir ce qu'ils écrivaient aux local#installations.

Alaa Ali
la source
7

Local#les installations sont dédiées à une utilisation locale et aucune norme (telle que RFC) n'est définie pour quelle application ou application. Ainsi, vous pouvez choisir ce que vous voulez. Bien sûr, certaines applications et leurs développeurs se sont mis d’accord sur une installation particulière à utiliser, mais ce n’est pas une norme officielle (comme sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
la source
Que voulez-vous dire "je peux choisir ce que je veux"? Sont-ils tous identiques? Je ne comprends pas le dernier point à propos de sudo local2et snort local5; vous voulez dire sur certains appareils, sudoutilise local2et sur d'autres snortest local5?
Alaa Ali
Je veux dire que vous pouvez choisir ce que vous voulez de LOCAL0 à LOCAL6. Oui, sur certaines distributions, je me souviens que sudo utilisait la fonction local2 par défaut.
dsmsk80